Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 128 reacties

Onder andere op Slashdot is gemeld dat een echt JPEG-virus in het wild is gespot. Ongeveer twee weken geleden werd bekend dat er een bug in de JPEG-implementatie van Windows zit, waardoor het mogelijk is om een buffer overrun te laten optreden, waarna ieder willekeurig stuk code uitgevoerd kan worden. Vorige week zijn al twee proof-of-conceptvirussen opgedoken om de potentiële kracht van de bug te laten zien. Deze conceptvirussen kunnen nu echter weer veilig opgeborgen worden in de softwarelaboratoria, aangezien een echt virus is opgedoken.

Wanneer een JPEG-afbeelding met daarin de kwaadaardige code bekeken wordt, gaat het GDI+-object in Windows over de kop en wordt de viruscode uitgevoerd. Vervolgens neemt het virus contact op met het thuisfront. Daarna wordt een verbinding opgezet met een ftp-server en wordt er 2MB aan data gedownload. Ten slotte worden WinVNC en Radmin geïnstalleerd. Een afbeelding met daarin de viruscode, en dus ook de hiervoor beschreven effecten, kan via een linkje op deze pagina gevonden worden. Updates van Microsoft om de betreffende bug in Windows te verhelpen, zijn hier te vinden.

Moderatie-faq Wijzig weergave

Reacties (128)

Ik heb hem al voorbij zien komen idd. Mijn virusscanner (AntiVir) pakte hem er mooi uit :)

Overigens kan je via het ISC van SANS een tooltje downloaden die nog zoekt naar andere GDI.dll's dan die van Office en Windows zelf.

http://isc.sans.org/gdiscan.php <-- daar weg te halen.

Lees ook hier een open brief van iemand van het ISC aan de mannen in Redmond:
http://isc.sans.org/diary.php?date=2004-09-26
Bedankt voor die ISC-link, maar wat moet ik nu doen met 2 vulnerable DLLs (Office + PSP)? Volstaat het om een een non-vulnerable DLL te vinden en die gewoon over de andere heen te plakken, of zijn die DLLs applicatie-specifiek, en moet ik dus een patch vinden voor de beide programma's? (Bij mij gaat het trouwens tweemaal over gdiplus.dll)
http://windowsupdate.microsoft.com
http://officeupdate.microsoft.com

Daarmee update je de oude gdi dll. Let op dat als je gescanned hebt met de scanner van SANS dat er ook uninstall en backup dll's worden gevonden die geen gevaar vormen.
Ignore files in directories like Windows\$NtUniinstallKBxxxxx\ and Windows\WinSxS. These are old versions left behind for uninstal purposes.
Voor overige fixes van programma's van Microsoft kan je hier terecht:
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

Er is geen overzicht bekend van third party programma's die gebruik maken van (afgeleiden van) gdi dll's. Ik ken tot nu toe 1 geval van HP. Daar is nog geen patch voor.
ik heb ze in nero 6.0 ook gevonden.
Nadat ik via de website van nero een GDI patch had gevonden was het volgens de site niet nodig bij de versies van windows ME 2000 en XP :?
Mozilla, Firefox en Thunderbird maken er ook gebruik van, alleen zul je dat niet merken omdat ze statisch meegecompileerd zijn in de build.
Om geen last te hebben van deze bug in bovenstaande 3, moet je zorgen dat je de laatste versie draait, die zijn nml gelinkt met de juiste versie van de DLL.
Er is geen overzicht bekend van third party programma's die gebruik maken van (afgeleiden van) gdi dll's.
Dan starten we er hier toch één? Deze kwam ik tegen met de tool van SANS (en verderop in het topic):
-Adobe Illustrator CS
-Autodesk AutoCAD LT 2004 (ook SP1a)
-Trust digitale (web-)camera software
-Macromedia Dreamweaver MX 2004
-Macromedia Fireworks MX 2004
-Route 66 2005
-WS_FTP Pro (versie?)

Wie vult aan?

De Microsoft GDI+ detection tool vertelde mij overigens dat m'n systeem zogenaamd 'schoon' was, terwijl de tool van SANS (zie boven) nog 4 kwetsbare bestanden kon vinden.
LiteStep kwam ook als kwetsbaar naar boven op mijn systeem...
Wie vult aan?

- filemaker pro 7
Let op dat als je gescanned hebt met de scanner...

Vernuftig virus blijkbaar als m'n 4800 dpi-tje ook al gevaar loopt.... ;)
Voor de volledigheid:

W2K NL SP3
Scanning Drive C:...
Program Files\Common Files\Microsoft Shared\Ink\gdiplus.dll
Version: 5.1.3097.0 <-- Vulnerable version

WXPP NL SP1
Scanning Drive C:...
Program Files\IBM RecordNow!\gdiplus.dll
Version: 5.1.3097.0 <-- Vulnerable version

Vooral die eerste is erg fijn want die moet uit een full-install van Office 2000 Pro NL komen terwijl: knip plak:
De Microsoft GDI+ detection tool vertelde mij overigens dat m'n systeem zogenaamd 'schoon' was, terwijl de tool van SANS (zie boven) nog 1 kwetsbaar MICROSOFT bestand kon vinden.
C:\Program Files\TechSmith\SnagIt 7\gdiplus.dll
Version: 5.1.3097.0 <-- Vulnerable version
Gelukkig lijkt in iedergeval de FTP waar Radmin en WinVNC vanaf worden geplukt down te zijn. Dan word je computer tenminste niet via die software bereikbaar mocht je geinfecteerd raken.

Natuurlijk is deze truc ook ideaal voor porno websites om via deze weg een dialer of wat dan ook op je HD te krijgen...
of is die gedossed door de grote heoveelheid queries van besmette computers en is het enkel kwestie van tijd. iksnap zowieso niet waarom dit soort virussen niet via een BT werken. dat zou wel lekker snel/effectief werken
Nee, de webhoster heeft de site offline gehaald:
The website you have requested has been cancelled.
Maarja, je kan wachten op de varianten die het zaakje van andere sites gaan downloaden...
Een virus die radmin gebruikt als trojan remotecontrol noem ik bijna geen virus.
Dit is duidelijk een scriptkiddie die de exploit gecompileerd heeft.
:Z
Ik weet het niet hoor, maar met WinVNC krijg je zo'n heel mooi VNC icoontje in je Tray, dus waarschijnlijk valt dat nogal op. :?
En als je van '-servicehelper' '-service' maakt (in je registery) is dat icoontje ook weg ;)
Dat hoeft niet hoor, je kan VNC ook in 'service' mode laten draaien en dan zie je dat icoontje niet.

[edit]
Spuit11 ;)
Alle beheerders van webservers: Maak eens een subdirectory met de naam "plaatje.jpg" en plaats in die directory wat wazige zooi zoals alle bekende exploits die bekend zijn en stuur daar een test persoon op af. Lijkt als url echt als een JPG maar is in werkelijkheid dus gewoon een directory.

bijv. http://localhost/images/plaatje.jpg

Bovenstaande link werkt natuurlijk alleen maar als je lokaal op je pc een webserver draait die deze url accepteerd. Idee hierachter is dat je vanuit je browser NIET kan weten of de url naar een bestand of naar een folder leidt. Dit principe werkt natuurlijk met iedere extensie.

[edit] wat spelfouten.
Maar wat ik hiermee probeer duidelijk te maken is dat het wel heel erg makkelijk is hele enge dingen te doen bij onwetende gebruikers van willekeurige webbrowsers. Zelfs doorgewinterde surfers kunnen hier met open ogen intrappen. Zou me niet verbazen als deze truuk ook daadwerkelijk gebruikt wordt.
Alle beheerders van webservers: Maak eens een subdirectory mmet de naam "plaatje.jpg" en plaats in die directory wat wazige zooi zoals alle bekende exploits die bekend zijn en stuur daar een test persoon op af. Lijkt als url echt als een JPG maar is in werkelijkheid dus gewoon een directory.
Zoiets? gemini.luon.net/~marcelm/plaatje.jpg
Idee hierachter is dat je vanuit je browser NIET kan weten of de url naar een bestand of naar een folder leidt. Dit principe werkt natuurlijk met iedere extentie.
Ja, dus? Het blijft een HTTP connectie waarover iets verstuurd wordt. Als het om een echte jpg gaat, dan komt er een JPG over die HTTP connectie zetten, als het om een dir gaat, dan komt er een HTML pagina die de inhoud van de directory laat zien over de HTTP connectie.

Ik snap niet wat er zo bijzonder aan moet zijn?

Een browser kan sowieso al nooit weten naar wat voor type file het leidt, een extensie zegt helemaal niks (zie .php URL's waar geen PHP uit komt maar HTML). Pas aan de hand van het mimetype van de daadwerkelijk overgestuurde file kan de browser bepalen om wat voor bestand het gaat.
Zoiets? gemini.luon.net/~marcelm/plaatje.jpg
Ben jij niet helemaal lekker of zo? Ik klik op die link, ik ga naar "parent directory", en ik kan zomaar een of andere offerte bekijken, foto's van je hamster, van je moederbord, een screenshot van een chatsessie (!) etc. Categorie: "ongesorteerd/opendir". Het ziet er niet echt uit alsof het de bedoeling was dat dit online komt zeg maar.
ik kan zomaar een of andere offerte bekijken, foto's van je hamster, van je moederbord, een screenshot van een chatsessie (!) etc.
Het blijkt dus dat je die plaatjes bekeken hebt, en wat nou als die plaatjes... :P Een nieuwe manier om argeloze opendirkijkers te grazen te nemen, want wie maakt normaliter chatscreendumps... beaver.jpg, hotchat.jpg B-)

[nog meer offtopic: linkje voor 408Mb l33ch3nd3 knaagdiergeinteresseerden]
Om het wat te verduidelijken en niet iedereen een webserver op te laten zetten :P :

http://www.3d-gamers.nl/tweakers.jpg
http://www.3d-gamers.nl/tweakers.exe

edit:
dit is niet als advertisement bedoeld!!
edit: oja ik zie net de tekst hierboven over mimetype dat klopt ook nog

orgineel:
nooit van http headers gehoort zeker:/

je browser kan wel achterhalen wat voor bestand je stuurt ook al is het .exe als in de header staat dat het een plaatje is dan probeert je browser deze als een plaatje te laten openen

maargoed
een goeie browser zal idd helemaal niet naar die extensie kijken, omdat het de browser helemaal niet uitmaakt wat een extensie is. vooral niet op linux, omdat die niet uit gaat van extensies, maar van mime types. firefox zet achter zo'n url na het openen gewoon / erachter, dus zie je het alsnog. en bovendien ben ik niet zo onder de indruk van deze truuk, want het is en blijf een folder, en kun je net zoveel mee als met de url http://my.web.site.com/folder/
Dat doet firefox niet, dat doet de webserver. Die geeft namelijk een redirect naar de folder met een / er achter. Je krijgt namelijk "301 Moved Permanently" terug als je een dir opvraagt zonder /.
ik heb net ook ff gescand, en ik snap het niet helemaal,


Scanning Drive G:...
G:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSO.DLL
Version: 11.0.5606.0
G:\Program Files\Common Files\Microsoft Shared\VGX\vgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3 w/IE6 SP1 only)
G:\Program Files\Microsoft Office\OFFICE11\GDIPLUS.DLL
Version: 6.0.3264.0
G:\WINDOWS\$NtUninstallKB833987$\sxs.dll
Version: 5.1.2600.1106 <-- Possibly vulnerable (Backup for uninstall purposes)
G:\WINDOWS\$NtUninstallKB839645$\sxs.dll
Version: 5.1.2600.1363
G:\WINDOWS\system32\dllcache\sxs.dll
Version: 5.1.2600.1515
G:\WINDOWS\system32\dllcache\vgx.dll
Version: 6.0.2800.1106 <-- Possibly vulnerable (Win2K SP2 and SP3 w/IE6 SP1 only)
G:\WINDOWS\system32\sxs.dll
Version: 5.1.2600.1515
G:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_ x-ww_8d353f13\GdiPlus.dll
Version: 5.1.3097.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)
G:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_ x-ww_712befd8\GdiPlus.dll
Version: 5.1.3101.0 <-- Possibly vulnerable (Windows Side-By-Side DLL)
G:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600. 1360_x-ww_24a2ed47\GdiPlus.dll
Version: 5.1.3102.1360
Scan Complete.


uhm, wat zou ik hieraan moeten doen, ik heb Windows Xp Service Pack 1


en stel dat je nou besmet raakt, wat moet je dan doen ??
en stel dat je nou besmet raakt, wat moet je dan doen ??
Tja, wat moet je doen als je een virus hebt...? |:(

Zoals altijd, hou je definities uptodate, let op wat je doet enzo.
Nog niet tegengekomen. Ga het ook niet echt proberen om dat plaatje te bekijken ook al heb ik mijn versie van Windows uitgerust met de meegegeven fix. Toch wel weer een pluspuntje voor Microsoft dat ze vrij snel met een fix zijn gekomen :)

edit:
Heb het linkje (easynews.com/test/possiblevirus.jpg.gz) maar eens geopend en m'n virusscanner begon al te mekkeren toen ik hem nog niet eens had opgeslagen, maar alleen het dialoog voor me had :)
Norton Antivirus 2004 pikte m er ook direct uit als een Bloodhound variant. (maakt toch niet veel uit, heb SP2 geinstalleerd... :))
Met de laaste virus defenitie's zegt Symantec AntiVirus corp. edition; Threat: Backdoor.Roxe
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.roxe. html

Laaste update, komt elke dag uit, ipv de 1x in de week via :r live-update :r
http://securityresponse.symantec.com/avcenter/download/pages/US-N95.ht ml
Dat pluspuntje dat je daar vermeldt wordt dan weer teniet gedaan door het vertrouwen dat je toont betreffende hun fix ;)
Daar heb je eigenlijk wel gelijk in :+ Maar goed, je weet maar nooit met Microsoft, maar ze doen iig hun best :P
Ik heb de JPEG geopend en me Anti-Virus stopte ook hem meteen :)
Norman Anti-Virus greep in toen ik het ZIPje wou uitpakken... :)
volgens Gimp doet ie een 'Improper call to JPEG library in state 201". ik had toch op z'n minst iets op me scherm verwacht. nu wekt het niet eens de indruk een jpeg te zijn.
ME av?? MIJN av!!!

Maar goed. Welke was dat dan? De mijne niet (Mc Affe)
heeft antivir nog eerder ondersteuning voor het virus dan mcafee...
McAfee herkent de generic exploit wel, alleen deze specifieke variant niet standaard met elke versie (eigen constatering: één PC met een oudere McAfee-versie ving hem nog niet af)

Er is voor McAfee wel een EXTRA.DAT tegen dit virus beschikbaar. Ik heb hem even gemirrored @ deze lokatie

Die file moet je in dezelfde directory zetten waar je SCAN.DAT staat (even Search op je C: gebruiken), en dan McAfee herstarten. Dan herkent hij hem keurig.
Mc Affe?? McAfee!!
Wel beetje jammer... betaal je voor een av progje (of crack), hoewel je ook gratis dingen als antivir kunt gebruiken, heeft antivir nog eerder ondersteuning voor het virus dan mcafee...
Ik heb ook McAffee en viste hem er dus uit ... :) Ik update dan ook mijn definities elke dag als ik me aanmeldt :)

Updaten instellen doe je via je McAffee console en dan je AutoUpdate ff 'schedulen' naar wanneer je wilt (voor diegene die het nog niet wiste ;)) Op het netwerk hier thuis wordt elke 4 uur gechecked of er nieuwe definities zijn, dus da zit wel snor :7
Mijn McAfee® VirusScan® Enterprise-software versie 7.1.0. dus wel.
Mc Affe?? McAfee!!!

(Edit: Mod maar omlaag, Zeekoe was me net voor met exact dezelfde opmerking)
bij mij heeft ie em gestopt
Yup, de mijne deet da ook. Een goeie av scanner is dus erg belangrijk (nu zeker).
lekker! mijne dus niet... nieuwste Norton Corporate Edition, deze hebi k omdat ie niet zo opdringerig is.. maar werkt dus niet goed! :(
Symantec corporate pakt hem er netjes uit hier :)
Heb je in je auto-protect de file-extension JP? en JPE? toegevoegd?
Vrij snel?

Ik dacht dat het al een jaar geleden ontdekt was...

Dus helemaal niet snel!!!
Minder denken, meer lezen, op de 2de regel staat dat het 2 weken geleden ontdekt is.
kuickshow kan hem niet openen wegens corruptie...
Ik had een mooi plaatje verwacht, met de text erin: U bent nu gehackt :)
geen virus scanner hierzo:

download : ok
openen (met photoshop) geeft deze fout melding:
klikerdeklik
Een afbeelding met daarin de viruscode,....., kan via een linkje op deze pagina gevonden worden
Waarom durf ik nu niet meer op de link te klikken??
Omdat je met Internet Explorer surft en je computer niet netjes gepatched is?
Werkt het niet bij andere browsers dan, zoals Mozilla? Want dat kan ik uit het verhaal niet opmaken hoor...
ik heb begrepen dat Mozilla and friends ook een tijdje open lagen omdat ze, op het windows platform, gebruik maken van de windows jpeg library. En deze is statisch in moz. gecompileerd. Een oudere versie van deze browsers op een gepatchte machine is dus nog steeds een risico!

Kortom, alles netjes updaten, ook de alternatieve browsers!
Interessant, je zou zeggen dat 'n JPG 'parser' gewoon het JPG bestand LEEST en afdrukt wat er staat inplaats van dat het UITVOERT wat er staat. Hoe kun je daar nou een fout in maken, niet dat ik het beter kan ofzo, maar het is gewoon vaag. :)

Dit probleem zit weer niet in Linux, dat is wel weer mooi
@jipman:
Dit probleem zit weer niet in Linux, dat is wel weer mooi
Kijk nog eens naar dit "oude" artikel. Eenzelfde techniek zou gebruikt kunnen worden voor PNG onder linux:
http://www.tweakers.net/nieuws/33718
Klopt, met libpng in *nix zijn ook de nodige issues geweest de afgelopen tijd (meerdere keren zelfs als ik me niet vergis). Gelukkig is het daar bijna altijd voldoende om dan gewoon die library te updaten en eventueel de lopende processen die ervan gebruik maken opnieuw te starten. Dergelijke systemen zijn zo opgebouwd, dat alles wat een bepaalde functie gebruikt, gebruik maakt van dezelfde library. Een uitzondering is natuurlijk wanneer je daar iets statisch hebt gebakken, maar dat is daar niet het standaardgedrag zeg maar.

Vergeleken met dat is de opbouw van Windows maar een zootje. En een DLL-hell heb je daar niet, want het uninstallen van spullen werkt daar wél goed.
Non-Affected Software:

• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
• Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2
• Microsoft Windows 98, Microsoft Windows 98 SE, and Microsoft Windows ME
• Microsoft Office 2003 Service Pack 1
• Microsoft Office 2000
• Microsoft Visio 2003 Service Pack 1
• Microsoft Visio 2000
• Microsoft Project 2003 Service Pack 1
• Microsoft Project 2000
• Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10
• The Microsoft .NET Framework version 1.1 SDK
• Microsoft Works (all versions)

Ben blij dat ik met XP SP2 zit :Y)
Minder is alleen wel dat heeel veel 3rd party software zijn eigen variantje van de affected jpg-parse code gebruikt. Dus als je het plaatje zonder problemen in windows ziet, kan je zomaar ineens wel geinfecteerd worden als je het met bijvoorbeeld ACDC bekijkt.
Er is geen algemene patch voor te maken omdat in windows veel apps hun benodigde dlls in de applicatie directory hebben zitten [dit ter voorkomiong van dll-hell].
Nu moeten dus alle apps die jpgs parsen gepatched worden.
Tijdens het "parsen" (inlezen) van het bestand worden er diverse buffers (variabelen) gebruikt om het bestand te lezen en af te drukken. Door een foute JPG te gebruiken wordt deze buffer te vol en krijg je een buffer overflow.
Soms is het mogelijk deze buffer met bepaalde code te laten overstromen welke vervolgens door het OS wordt uitgevoerd.
"Soms" als programmeurs een steekje laten vallen.
Ik bedoel een JPEG-encoder is al talloze keren geschreven door verschillende communities & bedrijven. Alleen in "deze" zit een foutje :+
Hier wat info in het algemeen hoe datahandling de programmacode laat bloeden.
Interessant, je zou zeggen dat 'n JPG 'parser' gewoon het JPG bestand LEEST en afdrukt wat er staat inplaats van dat het UITVOERT wat er staat.
In principe leest die lib het ook gewoon; maar soms gaat het mis. Als jij een boek leest, en er staat "de moeder van jipman is een aliën", dan kan je je ook verslikken, en gaat het ook mis :P

Natuurlijk hóórt hij het ook niet uit te voeren, maar dat is wel zo'n beetje het idee van een buffer overrun :P
AVG antivirus v6 laatste update (27-09-2004) geeft geen krimp. daar baal ik wel een beetje van.

edit: gelukkig heb ik alleen win2000 sp4
edit: de update van vandaag (28-09-2004) detecteert hem nog steeds niet
Avast! ziet ook niks. Zelfs niet als ik een expliciete scan doe na het unzippen. Uitroepteken in de naam mag wel weg dus :(
Ik heb het plaatje maar ongeopend weg gegooid...
Programma versie 4.1.418
Database versie 0440-0
McAfee ziet hem wel
Sorry, maar bij mij detecteert AVG hem wel. Versie 6.0.770, virus database 517.
Om maar even mee te dingen in de lijst: Symantec Corporate 9 pikt hem wel op.
Panda Antivirus v7.07.01 (28-09-04) doet ook helemaal niks... :r

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True