JPEG-owy porno-trojan w natarciu

Pliki graficzne zawierające kod, który wykorzystuje niedawno zauważoną lukę w sposobie obchodzenia się systemu Windows z plikami graficznymi JPEG, zostały rozesłane na kilka grup dyskusyjnych. Jak mówią eksperci do spraw bezpieczeństwa, brakuje im jedynie sprawnego mechanizmu dystrybucji aby stały się pełnoprawnymi, groźnymi wirusami komputerowymi.

Pomimo, iż w tej chwili kod zagraża jedynie czytelnikom grup dyskusyjnych, na które został rozesłany, Oliver Friedrichs, senior manager z centrum Incydent Response Symanteca podkreśla, iż niewiele brakuje do stworzenia z niego pełnoprawnego wirusa komputerowego.

Pliki graficzne w formacie JPEG zostały rozesłane przez użytkownika identyfikującego się adresem e-mail "Power-Poster@power-post.org", głównie na grupy dyskusyjne o charakterze pornograficznym, których użytkownicy wymieniają się zdjęciami w formie binarnej (między innymi "alt.binaries.erotica.breasts"). O znalezionym kodzie poinformował na swojej stronie internetowej także jeden z providerów grup dyskusyjnych, Easynews. Jak mówi Johannes Ullrich, chief technology officer z SANS Institute Internet Storm Center - "Zainfekowane pliki nie odróżniają się niczym szczególnym od pozostałych. Zawierają jednak fragment niebezpiecznego kodu, zwany 'JPEG of Death', który pojawił się na początku tygodnia".

Zobacz również:

Microsoft, poza aktualizacjami zagrożonego oprogramowania, udostępnił również specjalną poprawkę. Próbuje ona wytropić podejrzany kod i nie dopuścić do błędu przepełnienia bufora w module GDI+, który jest dekoderem plików JPEG, wykorzystywanym przez system Windows, a także przeglądarkę internetową Internet Explorer, program pocztowy Microsoft Outlook oraz szereg innych aplikacji. Kiedy plik z trojanem zostanie uruchomiony przez nieświadomego użytkownika, próbuje zainstalować w systemie oprogramowanie do zdalnej kontroli komputera o nazwie "Radmin". Nie trudno zgadnąć, iż posłużyć ma on do przejęcia zdalnej kontroli na zainfekowaną maszyną, przez potencjalnego napastnika.

Eksperci z firm antywirusowych zgodnie podkreślają, iż niebezpieczne obrazki JPEG, które pojawiły się na grupach dyskusyjnych, nie posiadają mechanizmów, które pozwalałyby się im rozprzestrzeniać i z technicznego punktu widzenia, nie są to jeszcze pełnoprawne wirusy. Kod ten może być jednak łatwo zmodyfikowany o własny 'silnik', który umożliwi jego samodzielną dystrybucję, zaraz po uruchomieniu przez nieświadomego zagrożenia użytkownika.

Jak informowaliśmy już w artykule "Uwaga na pliki JPEG!", na potencjalny atak narażeni są zarówno użytkownicy systemów operacyjnych Windows (między innymi Windows XP, Windows 2003 Server), jak i szeregu innych, popularnych aplikacji: pakietów biurowych Office XP, Office 2003, przeglądarki internetowej Internet Explorer 6 z dodatkiem Service Pack 1, programów Microsoft Visio 2002 i 2003, Microsoft Project 2002 i 2003, Picture It oraz Digital Image Pro (pełna lista zagrożonych systemów oraz aplikacji została zamieszczona w biuletynie bezpieczeństwa MS04-028). Użytkownicy systemu Windows XP, zaktualizowanego o dodatek Service Pack 2 mogą czuć się bezpieczni, o ile zainstalują poprawki do pozostałych, umieszczonych na liście aplikacji, z których aktualnie korzystają.

W ramach rozmowy na naszym Forum IDG, spytaliśmy Grzechorza Michałka, głównego programistę firmy MKS, jak groźny może być 'obrazkowy wirus' i kiedy możemy się go spodziewać?

"Jest to potencjalnie poważna - z punktu widzenia zagrożenia wirusowego - luka. Zapewne prędzej czy później zostanie wykorzystana jako mechanizm aktywacji robaka. Zagrożenie takim 'stworem' będzie pewnie nieco niższe niż w przypadku Slammera itp. - tu jednak wymagana jest pewna konkretna akcja ze strony atakowanego komputera (wyświetlenie obrazka-przynęty). W przypadku Slammera wystarczyło, że niezałatany komputer był podpięty do sieci. Taka ewentualna epidemia może przypominać pierwsze epidemie Romeo&Juliet, czy Kak'a - do aktywacji wystarczy otwarcie listu z podglądem HTML. A są przecież użykownicy, którzy pracowicie wklepują podane przez robaki hasła, żeby wypakować i uruchomić plik wykonywalny. Niestety - dopóki nie pojawi się poważne i powszechne zagrożenie w postaci np. robaka, znaczna część użytkowników nie będzie miała świadomości, na ile poważna jest ta luka, a nawet mogą nie wiedzieć o jej istnieniu" - twierdzi Grzegorz Michałek.

Zobacz również