Hallo ihr,
ich habe heute im Radio gehört, dass die neuen Viren nun in JPGs stecken, und das auch auf ganz normal aufgerufenen Seiten!
Wie kann ich mich schützen?
Wie äußert es sich, wenn ein infiziertes JPG auf meinem Rechner „weiterarbeitet“ ?
Wenn es ein Dateianhang ist, entfernt so einen Virus dann (zB) web.de automatisch?
Danke euch!
Grüße
Spotvolta
Hallo Spotvolta,
Diesen Artikel hier habe ich gerade aus einem anderen Forum kopiert:
Es ist seit langen Jahren bekannt, dass man auch in Bildern Code verstecken kann. Das wurde bisher zur Tarnung von Nachrichten (Steganografie) sowie zur Anbringung unsichbarer Wasserzeichen in Bildern benutzt.
Vor einigen Wochen wurde nun bekannt, dass in Jpeg Bildern auch Code versteckt wurde und man diesen durch Fehler in Windoof (Buffer Overflow im Stack, das ist vereinfacht ausgedrückt eine Art zusätzlich von einem Programm reservierter Speicher) auch ausführen konnte.
Dazu jetzt die Meldung von Heise http://www.heise.de/security/news/meldung/51197:
JPEG-Exploits per Mausklick für jedermann
Das Wochenende könnte spannend werden: Ein Baukasten mit grafischer Oberfläche zum Basteln manipulierter JPEG-Bilder ist aufgetaucht. Nach dem Start des Tools muss man nur noch eine URL zu einem Server eingeben, die auf ein dort gespeichertes beliebiges Programm zeigt. Ein Klick auf „Make“ erzeugt dann ein JPG-Bild auf der Festplatte. Dessen Ansicht provoziert bei ungepatchten Applikationen unter Windows einen Buffer Overflow. In der Folge landet im Bild enthaltener Code auf dem Stack (einer Art zusätzlich für ein Programm reservierter Speicherbereich), der bei der Ausführung das Programm von der angegebenen URL nachlädt und startet.
Denkbar ist, dass Angreifer solche Bilder per Mail versenden und auf Web-Seiten platzieren, um verwundbare Systeme mit Trojanern und Dialern zu infizieren. Anwender von Win XP sollten jetzt schleunigst die von Microsoft bereit gestellten Patches installieren http://www.microsoft.com/germany/ms/security/jpegsec… Es ist zu erwarten, dass der Baukasten demnächst weitere Verbreitung findet. Da er ohne tiefergehende Kenntnisse der Lücke oder des Exploit-Codes zu bedienen ist, ist er für Skript-Kiddies das ideale Angriffswerkzeug.
Mehrere Hersteller von Antivirensoftware haben ihre Signaturen angepasst, mit der die Scanner präparierte Bilder erkennen. Nach Angaben des Virenspezialisten Andreas Marx von AV-Test sind dies bisher: (alle Zeiten GMT)
Antivir 23.09.2004 17:51 „TR/Exploit.MS04-28 (exact)“
Dr. Web 21.09.2004 10:51 „Exploit.MS04-028“
eTrust (CA Engine) 22.09.2004 22: 23 „JPEG.MS04-028.Exploit.Trojan“
eTrust (VET Engine) 23.09.2004 06:38 unvollständig als „JPEG.MS04-028.exploit“
eTrust (VET Engine) 24.09.2004 06:40 „JPEG.MS04-028.exploit“
F-Secure 20.09.2004 08:46 Exploit.Win32.MS04-028.gen
Kaspersky 23.09.2004 12:56 Exploit.Win32.MS04-028.gen
McAfee 16.09.2004 23:20 „Exploit-MS04-028“ und „Exploit-MS04-028.demo“
Symantec 16.09.2004 03:38 unvollständig als „Bloodhound.Exploit.13“
Symantec 18.09.2004 03:42 „Bloodhound.Exploit.13“
Trend Micro 18.09.2004 06:10 „Exploit-MS04-028“
Anwender sollten aber darauf achten, dass ihr Virenscanner alle Dateien auf dem System untersucht. In einigen Produkten sind Erweiterungen von der Überprüfung ausgenommen, unter anderem auch .jpg. Selbst wenn .jpg explizit angegeben ist, muss das keinen hundertprozentigen Schutz bieten, da ein präpariertes Bild ja auch die gültig Endung .jpeg tragen kann.
Zusammen mit AV-Test untersucht heise Security ein weiteres JPEG-Bild, das auch auf vollständig gepatchten Systemen den Internet Explorer zum Absturz bringt. Der Fehler tritt aber nur in Microsofts Web-Browser auf, andere, von der ursprünglichen JPEG-Sicherheitslücke betroffene Applikationen scheinen in diesem Fall nicht gefährdet zu sein.
Gruß
MNL
Hi Midnightlove!
Danke für die Info! Habe schon ein Patch geladen…
Viele Grüße
Spotvolta
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Im XP SP2 schon enthalten
Bei microsoft.com steht was dass der entsprechende patch schon im ServicePack2 enthalten ist, muss ich also nichts mehr updaten?
Gruß Henry
Hi,
auch MS Office und andere Programme müssen evtl. gepatcht werden. details findest Du auf der Webseite von MS. Ein frischer Virenscanner und das einbeziehen von Dateien mit Endung jpg und jpeg in diesen kann auch nix schaden…
Gruß,
Micha