JPEG-owy porno-trojan w natarciu

Pliki graficzne zawierające kod, który wykorzystuje niedawno zauważoną lukę w sposobie obchodzenia się systemu Windows z plikami graficznymi JPEG, zostały rozesłane na kilka grup dyskusyjnych. Jak mówią eksperci do spraw bezpieczeństwa, brakuje im jedynie sprawnego mechanizmu dystrybucji aby stały się pełnoprawnymi, groźnymi wirusami komputerowymi.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Pomimo, iż w tej chwili kod zagraża jedynie czytelnikom grup dyskusyjnych, na które został rozesłany, Oliver Friedrichs, senior manager z centrum Incydent Response Symanteca podkreśla, iż niewiele brakuje do stworzenia z niego pełnoprawnego wirusa komputerowego.

Pliki graficzne w formacie JPEG zostały rozesłane przez użytkownika identyfikującego się adresem e-mail "Power-Poster@power-post.org", głównie na grupy dyskusyjne o charakterze pornograficznym, których użytkownicy wymieniają się zdjęciami w formie binarnej (między innymi "alt.binaries.erotica.breasts"). O znalezionym kodzie poinformował na swojej stronie internetowej także jeden z providerów grup dyskusyjnych, Easynews. Jak mówi Johannes Ullrich, chief technology officer z SANS Institute Internet Storm Center - "Zainfekowane pliki nie odróżniają się niczym szczególnym od pozostałych. Zawierają jednak fragment niebezpiecznego kodu, zwany 'JPEG of Death', który pojawił się na początku tygodnia".

Microsoft, poza aktualizacjami zagrożonego oprogramowania, udostępnił również specjalną poprawkę. Próbuje ona wytropić podejrzany kod i nie dopuścić do błędu przepełnienia bufora w module GDI+, który jest dekoderem plików JPEG, wykorzystywanym przez system Windows, a także przeglądarkę internetową Internet Explorer, program pocztowy Microsoft Outlook oraz szereg innych aplikacji. Kiedy plik z trojanem zostanie uruchomiony przez nieświadomego użytkownika, próbuje zainstalować w systemie oprogramowanie do zdalnej kontroli komputera o nazwie "Radmin". Nie trudno zgadnąć, iż posłużyć ma on do przejęcia zdalnej kontroli na zainfekowaną maszyną, przez potencjalnego napastnika.

Eksperci z firm antywirusowych zgodnie podkreślają, iż niebezpieczne obrazki JPEG, które pojawiły się na grupach dyskusyjnych, nie posiadają mechanizmów, które pozwalałyby się im rozprzestrzeniać i z technicznego punktu widzenia, nie są to jeszcze pełnoprawne wirusy. Kod ten może być jednak łatwo zmodyfikowany o własny 'silnik', który umożliwi jego samodzielną dystrybucję, zaraz po uruchomieniu przez nieświadomego zagrożenia użytkownika.

Jak informowaliśmy już w artykule "Uwaga na pliki JPEG!", na potencjalny atak narażeni są zarówno użytkownicy systemów operacyjnych Windows (między innymi Windows XP, Windows 2003 Server), jak i szeregu innych, popularnych aplikacji: pakietów biurowych Office XP, Office 2003, przeglądarki internetowej Internet Explorer 6 z dodatkiem Service Pack 1, programów Microsoft Visio 2002 i 2003, Microsoft Project 2002 i 2003, Picture It oraz Digital Image Pro (pełna lista zagrożonych systemów oraz aplikacji została zamieszczona w biuletynie bezpieczeństwa MS04-028). Użytkownicy systemu Windows XP, zaktualizowanego o dodatek Service Pack 2 mogą czuć się bezpieczni, o ile zainstalują poprawki do pozostałych, umieszczonych na liście aplikacji, z których aktualnie korzystają.

W ramach rozmowy na naszym Forum IDG, spytaliśmy Grzechorza Michałka, głównego programistę firmy MKS, jak groźny może być 'obrazkowy wirus' i kiedy możemy się go spodziewać?

"Jest to potencjalnie poważna - z punktu widzenia zagrożenia wirusowego - luka. Zapewne prędzej czy później zostanie wykorzystana jako mechanizm aktywacji robaka. Zagrożenie takim 'stworem' będzie pewnie nieco niższe niż w przypadku Slammera itp. - tu jednak wymagana jest pewna konkretna akcja ze strony atakowanego komputera (wyświetlenie obrazka-przynęty). W przypadku Slammera wystarczyło, że niezałatany komputer był podpięty do sieci. Taka ewentualna epidemia może przypominać pierwsze epidemie Romeo&Juliet, czy Kak'a - do aktywacji wystarczy otwarcie listu z podglądem HTML. A są przecież użykownicy, którzy pracowicie wklepują podane przez robaki hasła, żeby wypakować i uruchomić plik wykonywalny. Niestety - dopóki nie pojawi się poważne i powszechne zagrożenie w postaci np. robaka, znaczna część użytkowników nie będzie miała świadomości, na ile poważna jest ta luka, a nawet mogą nie wiedzieć o jej istnieniu" - twierdzi Grzegorz Michałek.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.