JPEG-owy wirus pokona zabezpieczenia?

Zdaniem Mikko Hypponena z firmy F-Secure, wirus wykorzystujący do atakowania komputerów wykryty niedawno błąd w systemie Windows, związany z obsługą plików JPEG, może być wyjątkowo trudnym przeciwnikiem dla współczesnych programów antywirusowych. "Standardowo skonfigurowane oprogramowanie antywirusowe nie wykryje takiego wirusa" - powiedział Hypponen dziennikarzom magazynu ZDNet.co.uk.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Wirus, o którym mowa powyżej, tak naprawdę jeszcze nie istnieje - eksperci są jednak zgodni, że pojawi się on w Sieci już wkrótce. Będzie to konsekwencja wykrycia błędu w sposobie przetwarzania formatu JPEG przez szereg aplikacji oraz systemów operacyjnych Microsoftu. Lukę można wykorzystać dodając do pliku graficznego JPEG odpowiedni fragment kodu, który przy oglądaniu obrazka spowoduje błąd przepełnienia bufora i pozwoli na przejęcie zdalnej kontroli nad zainfekowanym komputerem. Microsoft opublikował już stosowane uaktualnienia - można je pobrać za pośrednictwem mechanizmu WindowsUpdate.

Według Mikko Hypponena, programy antywirusowe będą miały sporo problemów z 'JPEG-owym wirusem' - po pierwsze dlatego, ze standardowo są one skonfigurowane tylko do sprawdzania plików 'wykonywalnych' (czyli np. exe). W większości tego typu aplikacji istnieje oczywiście możliwość dodania nowych pozycji do listy skanowanych plików, jednak problem z plikami JPEG polega na tym, że mogą one mieć wiele różnych rozszerzeń (jpeg, jpg, jpg2, icon). Drugi problem polega na tym, że np. Internet Explorer przetwarza pliki JPEG jeszcze przed ich cache'owaniem - tzn. że wirus może się uaktywnić, zanim plik zostanie zapisany na dysku i zanim program antywirusowy będzie miał możliwość go sprawdzić.

Od kilku dni w Sieci można zauważyć próby wykorzystania owego błędu do przeprowadzenia ataków na komputery internautów - nie dalej jak wczoraj informowaliśmy o opublikowania na kilku grupach dyskusyjnych obrazków zawierających 'złośliwy' kod. Z kolei eksperci z SANS Institute Internet Storm Center poinformowali dziś, że zaobserwowali próby ataków na użytkowników popularnych w USA komunikatorów internetowych (m.in. AOL Instant Messenger). Atak polega na wysłaniu do użytkownika komunikatora wiadomości zawierającej odnośnik do strony WWW oraz tekst zachęcający do odwiedzenia tej strony. Gdy użytkownik kliknie na łącze, otwierana jest strona WWW zawierająca niebezpieczny obrazek - jego wyświetlenie na niezabezpieczonej maszynie spowoduje tzw. błąd przepełnienia bufora, co z kolei pozwoli nieautoryzowanemu użytkownikowi na przejęcie zdalnej kontroli nad komputerem.

Więcej informacji na temat błędu w systemie Windows:

http://www.pcworld.pl/news/70592.html

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.