JPEG-exploit nu ook misbruikt via AOL messenger

Nadat de eerste trojan die gebruikmaakte van de JPEG-exploit gesignaleerd werd, is de malware nu ook opgedoken op het AIM-netwerk. Kwaadwilligen kiezen hierbij een geïnfecteerde afbeelding in hun profiel en sturen vervolgens berichten naar andere gebruikers om hen te overhalen dat profiel te bekijken. Zodra deze personen de afbeelding bekijken wordt hun computer echter geïnfecteerd. Het is voor virusscanners uiterst lastig om kwaadaardige bestanden met deze JPEG-exploit te detecteren.

ComputervirusDe meeste antivirusprogramma's zoeken namelijk enkel naar malware in exe-bestanden. Wanneer men echter zijn virusscanner zo instelt dat hij ook jpg-bestanden controleert, is het probleem nog steeds niet van de baan. Een JPEG-bestand kan namelijk ook een andere extensie meekrijgen, waaronder icon of jpg2. Het opsporen van een virus in bestanden met een van al deze mogelijke extensies zou daarom veel meer processorkracht vereisen dan een gewoon antivirusprogramma, aldus Mikko Hypponen van F-Secure.

Door Yoeri Lauwers

Eindredacteur

Feedback • 01-10-2004 09:59 42

01-10-2004 • 09:59

42

Bron: WinNetMag

Lees meer

Grote Nederlandse sites verspreiden urenlang trojan
Grote Nederlandse sites verspreiden urenlang trojan Nieuws van 21 november 2004
'Huidige antivirustechnologie te traag'
'Huidige antivirustechnologie te traag' Nieuws van 5 oktober 2004
Eerste echte JPEG-virus in het wild gesignaleerd
Eerste echte JPEG-virus in het wild gesignaleerd Nieuws van 28 september 2004
Exploits ontdekt voor JPEG-bug in Windows
Exploits ontdekt voor JPEG-bug in Windows Nieuws van 25 september 2004
'JPEG of death'-hoax na 10 jaar werkelijkheid
'JPEG of death'-hoax na 10 jaar werkelijkheid Nieuws van 16 september 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (42)

-Moderatie-faq
42
40
28
8
2
3
Wijzig sortering
Verwijderd 1 oktober 2004 10:05
Zou dit ook betekenen dat je dat via de schermafbeelding in MSN Messenger kan doen?
EagleTitan @Verwijderd1 oktober 2004 10:26
Nee, je MSN avatars worden verstuurd als PNG
Eld0 @EagleTitan1 oktober 2004 11:36
En door de extensie van de jpeg naar png te veranderen, kan het slachtoffer wel geïnfecteerd worden? (Als ik alles goed gelezen en begrepen zou hebben dan kan je de extensie van jpeg naar 11 andere extensies veranderen en nog altijd je slachtoffer infecteren) Correct me if I am wrong :)
Jimbolino @Eld01 oktober 2004 13:36
ja maar niet bij msn messenger, omdat die de bestanden converteerd naar png alvorens ze te versturen
Verwijderd @Eld01 oktober 2004 14:35
En wanneer iemand besluit zijn eigen client te schrijven, een andere te gebruiken die dit niet doet of een bestaande open-source client aan te passen..? Dit argument is client-specifiek, en garandeert dus niets..

Verder heb ik eerlijkgezegd geen in-depth kennis van dit onderwerp, maar dit argument is verwerpelijk.

De oplossing voor dit probleem ligt aan de zijde van Microsoft, deze partij moet gewoon een patch uitbrengen voor de desbetreffende library waar de bug in zit. De rest (het verhaal over JPEG's scannen) is pure sensatie. Dan kunnen ze ook meteen op MP3's en desnoods text-files (als we toch non-executable files als gevaarlijk gaan classificeren |:() gaan scannen om Microsoft's bugs voor te zijn.. onbegonnen werk (no pun intended, dan kun je gewoon alles wel gaan scannen, en is het eind zoek).

Edit: overbodig? Some people... :Z
EagleTitan @Eld01 oktober 2004 16:09
Nee, de protocol-specificatie vereist dat je de avatars als PNG verstuurt. Natuurlijk kan je als kwaadwillende een client schrijven die JPEG's verstuurt, maar dan moeten andere clients dus deze JPEG laden, wat bij goede software niet zal gebeuren, omdat je de image laadt met de PNG-library (of je gebruikt een algemene lib, dan gaat het waarschijnlijk wel fout, mits natuurlijk de desbetreffende DLL wordt gebruikt om JPEG's te laden)
Verwijderd @EagleTitan1 oktober 2004 16:36
hmmm. wel vreemd hoor... MSN heeft PNG support, maar die van internet explorer is erg matig!
Verwijderd 1 oktober 2004 10:07
En toch pakte m'n mcafee on-acces scanner dat voorbeeld virus van een paar dagen d'r uit. 'k neem dus ook aan dat de on-access scanner alle bestanden naloopt die windows probeert te openen.

Lijkt me dus geen probleem voor de mensen met on-access scanner, alleen in deze tijd wordt het idee om geen virus scanner te hebben draaien dus veel enger.
berend_engelbrecht @Verwijderd1 oktober 2004 10:13
Ook Symantec Antivirus houdt de voorbeelden zonder enige moeite tegen. Het is me nog niet gelukt om op een systeem met realtime protection ook maar iets met die bestanden te doen, ze worden al op het niveau van het filesysteem tegengehouden. Het enige wat je er van terugziet is per poging een entry in je virusscanner log.
Verwijderd 1 oktober 2004 10:04
Een AOL of MSN profiel wordt toch op een server opgeslagen? Dan kan de server toch op deze JPEG-exploit scannen?
Client AV worden zo niet extra belast, toch?
SuperNull @Verwijderd1 oktober 2004 10:09
Dat zal op den duur ook gebeuren, denk ik.
Maar vergeet niet dat AOL en/of MSN daar eigenlijk helemaal geen zin in hebben omdat het opeens veeeel meer computertijd gaat kosten.
Een dataserver draaien kost relatief niet veel computertijd.
Dataanalyse wel.
Verwijderd @SuperNull1 oktober 2004 13:19
Nou, ik vind dat msn wel de morale verplichting heeft omdit te doen. Zij zijn immers mede verantwoordelijk.
MaVl @Verwijderd1 oktober 2004 13:36
Ik vind dat dus niet, het is de verplichting van de gebruiker zelf om zijn pc up to date te houden en op te letten wat hij download van anderen.
Ze kunnen het wel aanbieden als extra service, maar een verplichting is het absoluut niet, kost veel te veel processorkracht.
opagrover @Verwijderd3 oktober 2004 12:15
Voor niets gaat de zon op, en het zijn commerciele bedrijven. Hotmail doet al aan scannen door hun intergratie van de McAfee virusscanner. Het zou wel mooi in hun "MS doet tegenwoordig ook aan security" marketing campagne vallen.
Verwijderd @Verwijderd1 oktober 2004 13:04
Waarom zouden op server niveau moeten ingrijpen om een Windows/IE only probleem aan te pakken ?

Jij gaat heel het wegennet aanpassen omdat een bepaald type auto slechte schokdempers heeft gekregen in de fabriek.... rare redenering heb jij ;)
Verwijderd @Verwijderd1 oktober 2004 13:31
Het is geen IE only probleem!
En dan nog aangezien 95% van de computers windows draait en op 95% van de computers IE gebruikt wordt, kun je dus wel stellen dat de overgrote meerderheid risico loopt (tenzij het systeem gepatched is)
Verwijderd @Verwijderd1 oktober 2004 15:13
erger. verschillende adobe programma's hebben het ook en als ik me niet vergis heb ik het ook in dreamweaver zien zitten.

dat wil zeggen: ze gebruiken een eigen versie van de bewuste buggy .dll

uiteraard wordt deze niet door M$ gepatched.
Verwijderd @Verwijderd1 oktober 2004 13:36
Het is geen algemeen probleem met een protocol of een formaat, het is een domme bug in een gdi dll van Windows.

Gaan we daar ff heel de wereld voor mobiliseren ? Om het zoveelste probleem van Windows aan te pakken ?

Djeezes... Het wordt hoog tijd dat MS de rekeningen gepresenteerd krijgt van alle onnodige kosten die veroorzaakt worden door hun bugs...

Edit : ja tuurlijk, weer overbodig. Iedereen lijkt het weer normaal te vinden dat de rest van de wereld zich moet aanpassen om een oplossing of workaround voor een zoveelste Microsoft probleem te vinden.
HanG-BuiK-ZwijN @Verwijderd1 oktober 2004 10:09
er wordt toch gezegdt dat het scannen erop heel moeilijk is en erg veel tijd anders kost?

het lijkt me beter als iedereen zich zou updaten ipv tijdrovende scanners te instaleren omdat de klant zich niet gepatched heeft.
Verwijderd 1 oktober 2004 10:07
is er nou onderhand nog geen fix? dit is een van de meest gevaarlijke veiligheidslekken ooit... waarom zie ik nog geen patches opduiken?
sid3windr @Verwijderd1 oktober 2004 10:16
afaik is dit al vanaf day one gepatched... je moet natuurlijk wel updaten dan.
Verwijderd @sid3windr1 oktober 2004 10:18
ik zie het er in m'n windowsupdate niet bij staan.

hoe heet deze update dan?
mrsar @Verwijderd1 oktober 2004 10:32
als het goed is,en je heb winupdate gedraait,dan heb je een programma gedaait genaamd GDI+
dit programma checkt of je software heb (van ms) die je moet patchen.

even uit me hoofd

win2ksp4 hoeft niet
winxp sp2 ook niet
winxp wel
winxp sp1 wel

alle office versies wel indien er software mee is geinstalleerd waarmee je jpg kan kijken


http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
AuteurYoeri @sid3windr1 oktober 2004 10:28
de exploit is zelfs pas opgedoken nadat de patch er was, net zoals het blaster-ding
YaPP @Verwijderd1 oktober 2004 10:56
Er is wel een fix, maar de code zit verwerkt in veel Microsoft producten, en third-party producten. Veel programma's leveren immers hun eigen DLL's mee, of compileren de code statisch in het .exe bestand zelf.

De Microsoft GDI scanner weet niet alle fouten te vinden..! bron
Verwijderd 1 oktober 2004 10:07
die server zou daar indederdaad wel op kunnen scannen, maar net als wat er in de tekst gezegd wordt.. het kost veel processorkracht. En voor servers die iets hosten helemaal.

En de bandbreedte gaat er op achteruit natuurlijk
killercow @Verwijderd1 oktober 2004 11:21
Hoe gaat de bandbreedte er precies op achteruit?
Ik zie niet hoe er meer of minder data verstuurt wordt.
KMK 1 oktober 2004 10:13
Dus eigenlijk zoiets van op GoT de de icons bij je naam misbruiken omdat er op mijn afbeelding een virus zit en dus iedereen die mijn bericht in een thread leest dat virus geserveerd krijgt.
MetalStef @KMK1 oktober 2004 10:20
Inderdaad, je hoeft op fora alleen maar te kijken wie er na jou gereageerd heeft om zeker te weten wie jouw avatar op zijn scherm gehad heeft. Daar een IP bij vinden en je kunt je gang gaan.

Da's niet zo best.
eborn @MetalStef1 oktober 2004 11:00
Helemaal zeker weet je het natuurlijk niet, want iemand kan plaatjes en/of avatars uitgeschakeld hebben. Maar je hebt in de basis wel gelijk :)
]Byte[ 1 oktober 2004 10:38
Weet iemand of en waar er een locatie is waar je zo'n jpg / exploit kan vinden?
JA, ik zoek het gevaar op ;) maar het gaat bij mij om een gecontroleerde omgeving waar ik dus dat risico kan nemen.
Verwijderd @]Byte[1 oktober 2004 10:49
Zie http://www.tweakers.net/nieuws/34454

edit:
Te laat....
0rbit 1 oktober 2004 10:06
Ach je hebt een groot voordeel; De JPEG moet voor het laden van het plaatje wel een intacte header hebben, anders krijgt het virus natuurlijk geen kans doordat de exploit niet werkt.

Het opsporen van een correcte header in een file is misschien meer werk dan sommige files links laten liggen, maar dit zal voornamelijk weer neerkomen op schijfactiviteit.
FerroFiber 1 oktober 2004 10:46
Bij het eerdere bericht stonden een heleboel links:
http://www.tweakers.net/nieuws/34454
Verwijderd 1 oktober 2004 14:20
Hoe zit het met SP2 zijn die mensen veilig? Want ik zie die niet staan in de lijst van affected software van ms.
www.microsoft.com/technet/security/bulletin/MS04-028.mspx

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq