JPEG worm W32/Perrun bewandelt nieuwe wegen

Tot nu toe zijn plaatjes virusvrij gebleven, maar daar komt vanaf nu verandering in. De W32/Perrun worm heeft een totaal nieuwe werkwijze: hij verspreid zich via een JPEG image. De worm is door de maker naar een aantal anti-virus bedrijven gestuurd en is (nog) niet verspreid op het internet. De virusbestrijders kunnen de mogelijke gevaren van de worm op dit moment nog niet goed inschatten. W32/Perrun bestaat uit 2 delen, het geïnfecteerde plaatje en een executable. Het infecteren van het systeem gebeurt via de executable, waarna de JPEG files worden besmet. Het openen van een besmette JPEG heeft op een schoon systeem dus geen effect. Wordt de image op een besmet systeem bekeken dan voert het systeem de code die in de JPEG file wordt gevonden uit. Het is afwachten totdat iemand de code van het complete virus in de JPEG file stopt zodat het image zelf een virus wordt:

Virus - cartoon In its current form, an infected JPG file sent to a friend or placed on a Web site isn't dangerous without the extractor file. But Gullotto said there's no reason a virus writer couldn't stuff the entire virus code into the JPG, making the picture file a virus itself.

De suggestie voor dit nieuwsitem kwam van TweakerWannabe.

Door Gabi Gaasenbeek

Feedback • 14-06-2002 13:00 113

14-06-2002 • 13:00

113

Bron: Washington Post

Lees meer

Symantec's Norton AntiVirus 2004 verschenen
Symantec's Norton AntiVirus 2004 verschenen Nieuws van 27 augustus 2003
Andere MS-software ook kwetsbaar voor wormaanvallen
Andere MS-software ook kwetsbaar voor wormaanvallen Nieuws van 27 januari 2003
Aantal e-mailvirussen verdubbeld in 2002
Aantal e-mailvirussen verdubbeld in 2002 Nieuws van 17 december 2002
Gevaarlijk Bugbear virus op komst
Gevaarlijk Bugbear virus op komst Nieuws van 1 oktober 2002
MessageLabs meldt wederom grote toename virussen
MessageLabs meldt wederom grote toename virussen Nieuws van 19 juni 2002
Worm 'Benjamin' treft KaZaA netwerk
Worm 'Benjamin' treft KaZaA netwerk Nieuws van 22 mei 2002
Virus vermomd als Microsoft security bulletin
Virus vermomd als Microsoft security bulletin Nieuws van 12 maart 2002
Besmetting mogelijk via mediacontentplayers
Besmetting mogelijk via mediacontentplayers Nieuws van 1 maart 2002
Header-virussen omzeilen contentscanners
Header-virussen omzeilen contentscanners Nieuws van 17 februari 2002
Vijf keer zo veel virussen in Groot-Brittannië
Vijf keer zo veel virussen in Groot-Brittannië Nieuws van 16 januari 2002
Virussen kostten bedrijven ruim € 14 miljard in 2001
Virussen kostten bedrijven ruim € 14 miljard in 2001 Nieuws van 10 januari 2002
Meer producten en artikelen
Software

Reacties (113)

-Moderatie-faq
113
111
87
22
2
4
Wijzig sortering

Sorteer op:

Weergave:
wzzrd 14 juni 2002 13:03
Het is afwachten totdat iemand de code van het complete virus in de JPEG file stopt zodat het image zelf een virus wordt:
Lijkt me een beetje onwaarschijnlijk hoor. Een virus moet geactiveerd worden, voordat het iets doet. Je kunt de code wel in een jpeg stoppen, maar dat wil nog niet zeggen dat er iets gebeurd als je het plaatje opent in een viewer.

Lijkt me een storm in een glas water.
xiphoid @wzzrd14 juni 2002 13:13
inderdaad,
je moet dus eerst TOCH een .exe hebben gestart. Dit zorgt er voor dat het net zogoed een .txt of .pipo kan zijn die het verspreid. Het is en blijft die .exe die dus het zooit ontregeld, en daarom vind ik niet dat de .jpg het virus is.
memphis @xiphoid14 juni 2002 13:49
En op hoeveel PC's slaapt die EXE file al totdat die geactiveerd wordt door een plaatje :?
RetepV @memphis14 juni 2002 14:01
Je snapt het niet, een plaatje is een passief bestand, het is geen executable en zal dus nooit uitgevoerd kunnen worden.

Dus je vraag moet andersom: hoe lang slaapt het plaatje al tot die geactiveerd wordt door een EXE file.

En dan zie je dat het onzin is om de hele viruscode in een JPG te zetten: het zal nooit uitgevoerd worden door het systeem.

Tenzij iemand in de JPEG standaard inbouwt dat er code in gestopt kan worden die uitgevoerd kan worden, en Microsoft (of Netscape of Mozilla of Arachne of weet ik veel welke browsermaker) die standaard ook nog gaat ondersteunen in zijn browser. Maar het zou onlogisch zijn om in een JPEG executable code te gaan stoppen. Dat is vragen om moeilijkheden en die standaardcomissie zou nooit zoiets bedenken.
freaky @memphis14 juni 2002 15:37
Idd, een plaatje is een passief bestand echter mocht er een weg gevonden worden om een buffer overflow te veroorzaken in een of ander programma als die de jpeg opent zijn we verder van huis. Ik acht die kans wel zeer klein, maar toch.
Verwijderd @memphis14 juni 2002 18:59
Memphis bedoelt volgens mij dat er misschien al geinfecteerde pc's zijn die d.m.v. een plaatje geinfecteerd zijn.

Jpeg's openen is normaal niet gevaarlijk, maar het kan natuurlijk voorkomen dat het mogelijk is om d.m.v. een fout in een image-vieuwer (I.E. bijvoorbeeld) een stukje code te activeren. (winamp playlists, code die wordt uitgevoerd door O.E. door een foute "datum" waren voorbeelden)
Verwijderd @memphis14 juni 2002 23:50
Mischien ben ik simplistisch.

Binnen OS wordt jpeg aan aplicatie gekoppeld. In normale geval een image viewer. Door computer te besmetten kan die handle naar de viewer omgeleid worden naar interpreter voor getruckte JPEG image, die code uitvoerdt. en vervolgens je oude viewer laat zien.

m.a.w. het gaat er niet om data er uitziet maar hoe er mee omgesprongen wordt.
_Thanatos_ @memphis14 juni 2002 23:51
dahei, we kunnen het niet vaak genoeg zeggen, in een JPEG (in de header, wat jij hier bedoelt) zit GEEN execution code, dus er KAN gewoon geen virus van gemaakt worden. resolutie en omschrijving zijn resp. gewoon wat bitjes en wat textuele data, maar geen enkele vorm van binaire danwel numerieke danwel textuele data kan een virus zijn. het wordt simpelweg niet uitgevoerd.

Waarom zo'n post als de jouwe nou +2 interessant krijgt, is me ook een raadsel.
wzzrd @memphis15 juni 2002 10:08
Dahei, dan mag jij mij vertellen wat de HTML tag is waarmee je iemand HDD leegt, en waarom die niet vaker wordt gebruikt :? :P ;) :)
Verwijderd @memphis15 juni 2002 14:04
wzzrd, er is natuurlijk geen HTML tag waarmee je zomaar zulk soort opdrachten kunt geven, maar soms zit er een fout in bijvoorbeeld de browser, een plug-in, of een active-x control waardoor het mogelijk is om dingen te doen die niet de bedoeling zijn. Als je je software 'n beetje up-to-date houd en een virusscanner hebt heb je hier meestal niet zoveel problemen mee.
wzzrd @memphis15 juni 2002 14:23
Precies. HTML zelf heeft dus NIET die mogelijkheid. Dat wilde ik even aangeven.
Verwijderd @memphis14 juni 2002 18:06
Volgens mij klopt dat niet helemaal, html bied ook de mogelijkheid om alle bestanden op jouw harddisk te wissen en meer. Html is ook geen .exe file maar wordt wel gestart door een executable.
Als een plaatje alleen maar foto-data bevat zal het (denk ik) niet mogelijk zijn om een virus te starten, maar er zit ook een stukje programmeercode in om bijvoorbeeld de resolutie, grootte en een omschrijving weer te geven. Als je hiermee gaat klooien kun je wel degelijk een virus laten starten.
Neelix @wzzrd14 juni 2002 13:52
Je kunt de code wel in een jpeg stoppen, maar dat wil nog niet zeggen dat er iets gebeurd als je het plaatje opent in een viewer
Sterker nog: er gebeurt helemaal niets. Image viewers geven alleen de data weer die in het plaatje zit. Er wordt niets "ge-execute".
Dit virus zorgt er alleen voor dat er toch iets ge-execute wordt op het moment dat je een bepaald plaatje bekijkt.

Extra data in een plaatje stoppen is sowieso al langer bekend...het wordt wel gebruikt om wat minder legale dingen te distribueren soms.
Gman @wzzrd14 juni 2002 13:15
Inderdaad, als de code in de jpeg code zit dan krijg je waarschijnlijk allemaal zooi.

Het OS denkt echt niet "hey dat is een stukje sourcecode, laten we dat eens executen", dat gaat niet.
Auteurzomertje @Gman14 juni 2002 13:25
Tenzij ze net zoiets kunnen bedenken als die .mp3.vbs dingen. Er bestaan ook macrovirussen die zich verspreiden via een word file... Als je die vraag of je de macro wil runnen permanent hebt uitgeschakeld zit zo je hele pc eronder.
Verwijderd @zomertje21 juni 2002 21:51
Daarom wijzig ik ook altijd onmiddellijk na een installatie de file associations, zodat potentiële scripts altijd in een editor worden geopend. Dat scheelt al een klein beetje, zelfs als je per ongeluk op een attachment met een vbs extensie klikt, is er nog geen kwaad geschied.
martijn_brinkers @wzzrd14 juni 2002 18:03
Het zou wel grappig zijn... neem ik een foto met mn digitale camera van een bos... laad ik het in mn computer... blijkt het ineens quake4 te zijn ;-)
raptorix 14 juni 2002 13:17
Tjah leuk dat zo een maker iets doet, en ook erg nobel, echter of het veel zal uitmaken betwijfel ik, meeste tweakers hier zijn verstandig genoeg om goed naar attachments te kijken en anderswel een virusscanner te draaien.

Probleem vormt de doorsnee gebruiker die geen scanner draait alles klakkeloos opent etc.

Kortom wil je virussen echt tot stand brengen dan zal men eerst meer ristricties aan moeten brengen in mailclients, ik vind het nog steeds onbegrijpelijk dat active scripting mogelijk is in bijvoorbeeld outlook, volgens mij moet het toch niet zo moeilijk zijn om gewoon mailtjes te behandelen net als webpagina's op hoogste beveiligingsniveau.

Scripting in mailtjes is gewoon in 99,999% gevallen overbodig, het weegt in ieder geval niet op tegen de gevaren.
Crazy D @raptorix14 juni 2002 14:56
Yup, de meesten hier zijn zo slim om niet zomaar alle progjes en dergelijke op te starten.
Alleen zijn de meesten hier ook zo slim om met illegale versies van programma's te maken. Wat nou als de patch die je gebruikt om vam acdsee een "extended shareware" te maken, toevallig meteen acdsee patched zodat die voortaan exe-code in jpegjes ook uitvoert... zijn wij hier als o zo slimme tweakers toch echt de lul....

(en ipv acdsee kan dat natuurlijk ook photoshop of paint shop pro of zo zijn.. desnoods een gepatche mspaint.exe die in de windows-iso zit die je download of een eengepaste word.exe in de office xp iso....)
Verwijderd 14 juni 2002 13:09
Misschien een stomme vraag, maar wat is nou het verschil met de andere virussen. Er dient nog steeds een executable uitgevoerd te worden.

Hij besmet JPG files, maar die kunnen dan niets meer doen. Wat is dus de schade als je een besmette JPG krijgt. Nul komma nul volgens mij.
aTmosh @Verwijderd14 juni 2002 14:14
Misschien een stomme vraag, maar wat is nou het verschil met de andere virussen. Er dient nog steeds een executable uitgevoerd te worden.
Tuurlijk en wat dat betreft zou je zeggen is er niets aan de hand. Maar er zijn een aantal 'voordelen' aan zo'n benadering:

- Exe kan zeer klein/onschuldig lijken of zelfs zijn, praktisch gezien (totdat er de juiste info aan wordt gevoerd uit plaatje)
- Payload kan veel groter dan normaal zijn omdat het, mits slim gecodeerd, niet opvalt (zie watermerken b.v.)
- Aparte delen kunnen flink verspreid worden voordat er zelfs deskundige ogen er iets in zien
- Als het zich activeert is oorzaak moeilijker te achterhalen (wat was het nou, die exe vond mijn checker niet verdacht, en plaatjes, dat kan toch niet?)
- Alternatief, je kan een der delen al lang en breed verspreid hebben voordat het actief wordt, een bijna nauwkeurige tijdbom. Je kent het wel van die geile (pun intended) plaatjes die je echt aan iedereen moet laten zien, dat is op zich al een virus :)
- Veel checkers/mensen kijken per default niet naar *.jpg
Hij besmet JPG files, maar die kunnen dan niets meer doen.
Behalve ongemerkt de payload meevoeren of als getimede trigger dienen.

Scenario: populair util/game/whatever bevat onschuldig lijkende hooks, niemand denkt er wat van (of merkt het überhaupt), na flink verspreid te zijn verschijnt er opeens ergens een plaatje wat je echt aan je buurman/vrouw/kat moet laten zien, verspreidt zich als wildvuur en voila, chemische reaktie.

De clue is hier dat het virus uit meerdere onafhankelijke delen bestaat, pas op het moment van activatie zou een scanner er iets mee kunnen doen (en die doen dan vaak maar 1 file in quarantaine), maar dan is het al te laat. Het hoeft maar 1 keer flink mis te gaan op miljoenen computers tegelijk, dan hebben de programmeurs het onderste uit de kan gehaald. En preventief plaatjes analyseren is behoorlijk intensief, de hele web staat er vol mee. (Hm, misschien nog weer iets voor de TLA van de dag, naast speuren naar geheime boodschappen van Bin Laden :) )

Een multipart virus zal altijd moeilijker te pakken zijn dan een single exe, misschien zal het altijd wel gevonden worden maar de bedoeling is dat dat zo lang mogelijk uitgesteld wordt zodat de schade het grootst is, ineens.
Wat is dus de schade als je een besmette JPG krijgt. Nul komma nul volgens mij.
Op zich wel ja. Totdat de delen bij mekaar komen. Enfin, zoals altijd hangt het misschien er van af of je van beginsel af aan al een onveilig OS gebruikt of niet, zoals Windows. Dàt moeten ze IMHO aanpakken, i.p.v. de constante symptoombestrijding. Maar goed, dat komt de grote industrie die eromheenhangt en flink aan bestrijding verdient (en M$ die om de haverklap een zgn. veiliger OS kan verkopen) niet ten goede..

[edit] mullah hieronder heeft ook een perfect punt. Extra complexiteit, viruskillers krijgen het nog moeilijk met al die slimmerikken.
dion_b Moderator Harde Waren @aTmosh14 juni 2002 18:56
Enfin, zoals altijd hangt het misschien er van af of je van beginsel af aan al een onveilig OS gebruikt of niet, zoals Windows. Dàt moeten ze IMHO aanpakken, i.p.v. de constante symptoombestrijding. Maar goed, dat komt de grote industrie die eromheenhangt en flink aan bestrijding verdient (en M$ die om de haverklap een zgn. veiliger OS kan verkopen) niet ten goede..
MS heeft de boel al aardig aangepakt in WinXP en 2K, je kunt daar als non-root user inloggen, dan zijn de systemen niet minder veilig dan pakweg een Linux systeem. Wat verschilt zijn de applicaties (Outlook Express als beste voorbeeld van hoe het niet moet), het aantal viri maar bovenal de gebruiker.

Het zijn de onnadenkende gebruikers die iedere keer zo nodig weer die stompzinnige attachment openen of die file-sharing programma installeren die alle poorten openzet die 99% van het probleem zijn.
mullah @Verwijderd14 juni 2002 14:15
de executable die de viruscode kan lezen krijgt als het ware bij het bezoeken van een webpagina, (met wat lekkere plaatjes) een update waarmee het virus wordt geactiveerd, bij een normaal virus wordt die activatiecode zo goed als altijd meegeleverd (de payload) en nu dus niet.

Nu kan een zo een JPEG virus executable afhankelijk van welk plaatje je tegenkomt iets anders doen, er anders uitzien of zelfs zichzelf ombouwen (JPEG-Kelly virus)
En er kunnen ook natuurlijk ook weer verschillende executables dezelfde JPEG viruscode lezen.

Al met al zijn er veel * veel extra mogelijkheden waar je virusscanner op alert moet wezen... en dat is "not a good thing"
SvMp 14 juni 2002 13:23
Met de werkwijze van dit virus kun je zelfs MP3 files wel besmetten. Bijna elk bestandsformaat biedt immers wel ruimte om stiekum stukjes code in op te slaan. Ik noem het eigenlijk geen JPEG-worm, want het is niet specifiek op de bestands-eigenschappen van JPEG gericht. Er moet immers wel een virus actief zijn dat de executable code in die JPEG uitvoert, iets wat normaal gesproken bij en plaatje niet gebeurt. Ik noem vind de algemene noemer "worm die zich via datafiles verspreidt" beter. Want ik kan je garanderen dat ze dit binnenkort ook toepassen op MP3's e.d.

Om op de hierboven gestelde vraag van TP70 aka Georgio in te gaan: Ja, dit kan gaan gelden voor ieder bestand met data.
aTmosh @SvMp15 juni 2002 01:14
Met de werkwijze van dit virus kun je zelfs MP3 files wel besmetten.
Dat is dus al gebeurd, zie WinAmp bug maar de grap is dat deze niet eens een aparte exe nodig heeft (of je zou moeten zeggen dat WinAmp of iets anders wat die overflow bug heeft dat is :) )
OxiMoron 14 juni 2002 13:51
hmm webpages met images zijn dan dus niet meer mogenlijk..
dat word leuk.. worden alle websites textbased zoals http://www.sogamed.com :+
RetepV @OxiMoron14 juni 2002 14:03
Overigens kun je al met het W32.Nimda virus besmet raken als je alleen maar naar een website browsed.

Dus dit probleem is er al.
ironx 14 juni 2002 13:07
Dus in feite blijft 't een executable die 't uitvoert...
Alleen in de image kan iedere keer een andere code staan... :?

Maar dan zou die .exe de image moeten openen in plaats van bijv. Photoshop oid? }:O

Of weer via een of andere ongeinige truck via 't register? :?

Damn, wat verlang ik terug naar die oude .INI files :P
Bigs 14 juni 2002 13:08
Het is afwachten totdat iemand de code van het complete virus in de JPEG file stopt zodat het image zelf een virus wordt
Dat is niet waar, immers om de code in de JPEG uit te voeren moet het systeem al besmet zijn met het virus.
Dit is allemaal maar een beetje onzin dus en het getuigt ook niet echt van veel programmeerkunst.
Verwijderd @Bigs14 juni 2002 16:47
inderdaad
wat een idioot virus.. dit kan je bij alles toepassen
jpg.. mp3 .. wat je maar wil
echt lomp..
Turtle 14 juni 2002 13:14
But Gullotto said there's no reason a virus writer couldn't stuff the entire virus code into the JPG, making the picture file a virus itself.
Zal ik dan maar een reden geven... JPG bestanden worden op een normaal systeem niet uitgevoerd, maar zijn slechts data bestanden.
Dus ik snap niet wat hier nau revolutionair aan is, tis gewoon weer een exe file die de user zelf moet uitvoeren om het systeem te infecteren. Maar ach, door het leuk te brengen is ie toch in het nieuws gekomen. Is het soms een marketing dude?
Scoutboy 14 juni 2002 14:12
Het is makkelijk uit te leggen wat de voordelen zijn van dit soort virus (voor de maker in ieder geval.)

1. Je infecteerd eerst een heleboel computer met je virus.exe (Die niet als virus wordt gezien door virus scanner want het enige wat hij doet is een DLL laden en uitvoeren) dit kan je doen door het mee te laten liften met leuke spelletjes / IRC / normaal e-mail virus.

2. Je voegt code toe aan een normaal JPEG bestand dat niet als zodanig wordt gescant en dus niet bekend is met de code die erin geplaatst is. (Deze JPEG wordt dus de DLL die word geladen door virus.exe)


Nadelen zijn wel
1. Je merkt het snel op want je viewer wordt vervangen en werkt het dus niet meer

2. Het werkt alleen als je het plaatje via je explorer opent en niet als hij alleen in de browser komt want dan wordt dat programma niet geladen

3. Ze moeten allebij tegelijk op een systeem aanwezig zijn anders gebeurd er dus niets.

Thats is mine 2 cents :)
Verwijderd 14 juni 2002 13:10
Dit houd dus in dat ik eerst een programma installeer die de code in dat JPGje uitvoert.
Dit zou je met elk willekeurig virus kunnen doen en met elk willekeurig file format. In een GIF comment block plaats je wat systeem code, dan schrijf je een programma die dat stukje eruithaalt en uitvoert.
Een virus van niks dus.

[edit: ik type langzaam]
Belboer @Verwijderd14 juni 2002 13:31
Ik zie wel mogelijkheden in het idee achter het samenspel tussen virus en data bestanden. Tot op dit moment is een virus vaak redelijk statisch. Goed, de code kan zich zelf eventueel morphen om de zichtbaarheid te beperken maar een nieuwe werking van het virus is niet aan besmette systemen toe te voegen. Wel zie je af en toe al de combinatie van virus/DoS tool en IRC voor het versturen van commandos.

Met het inbedden van code voor virussen in plaatjes kan men echter "updates" voor het betreffende virus verspreiden, bijvoorbeeld een nieuwe remote exploit om systemen te besmetten. Aangezien plaatjes passieve content zijn worden deze niet door virus scanners gechecked en is de update redelijk veilig voor ontdekking.

Ook kan een plaatje een commando geven aan een virus. Hierdoor kan de bedoeling van het virus verborgen blijven tijdens de verspreidings periode. Een plaatje kan dan de opdracht aan het virus geven om na 12 uur de harddisk te wissen.

<edit> typo </edit>

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq