Вирус JPEG взял новую высоту

В четверг антивирусные компании предупредили о новом вирусе, который передается через цифровые изображения, однако мнения экспертов о том, насколько опасна эта новая ветвь эволюции злонамеренного кода, расходятся.

Вирус W32/Perrun, который компания Network Associates называет первым «JPEG-инфектором», состоит из двух частей: зараженных изображений JPEG, которые несут разрушительную нагрузку вируса, и собственно вируса, который извлекает код из изображений и заражает другие файлы JPEG в системе. Чтобы код, скрытый в изображениях, мог заразить ПК, в последний сначала должен попасть вирус-экстрактор. Поэтому программа, по мнению вице-президента отдела экстренной антивирусной помощи Network Associates Винсента Джуллотто (Vincent Gullotto), представляет собой не столько угрозу, сколько произведение искусства программирования. «Мы не утверждаем, что это проблема, — говорит Джуллотто. — Мы оцениваем риск как минимальный, но до сих пор ничего подобного не видывали». Цифровое изображение, зараженное вирусом W32/Perrun, легко обнаружить, так как посторонний код его искажает.

Надо иметь в виду, что, просто открыв изображение JPEG, заразиться новым вирусом нельзя. На зараженном компьютере вирус копирует код в цифровое изображение и дожидается, пока инфицированный файл попадет в другие зараженные системы. В этих системах вирус считывает фрагмент кода из изображения JPEG и следует содержащимся в нем инструкциям. Пользователи, компьютеры которых не заражены вирусом-экстрактором, могут открывать зараженные изображения без каких-либо последствий.

Файл-экстрактор заражает лишь компьютеры под Microsoft Windows и не содержит компонента массовой рассылки e-mail. К тому же создатель вируса не выпустил его в интернет, а лишь разослал крупным антивирусным компаниям. Однако код стал причиной спора между экспертами о том, могут ли многокомпонентные вирусы стать новой угрозой для пользователей ПК. Джуллотто считает, что достаточно некоторых весьма простых усовершенствований, чтобы вирус стал опасным. Одно из таких очевидных усовершенствований уже обсуждается в сообществе вирусологов: это использование стеганографии — способа укрытия данных в изображениях без искажения этих изображений — для маскировки вирусов.

Обновляемый вирус не является чем-то новым в мире компьютерных вирусов. Червь Hybris, который в прошлом году постепенно заразил большое число компьютеров в интернете, способен обновляться посредством зашифрованных плагинов, помещаемых в Usenet. Эксперты давно предупреждали о том, что идет процесс совершенствования вирусов, и последнее творение, выпущенное в интернет, подтверждает: гонка вооружений в этой сфере не замедляется.

Джуллотто рекомендует воспринять это как урок осторожности. «Теперь к файлам изображений следует относиться с подозрением, — говорит он. — Наш единственный шанс опередить писателей вирусов — это просвещение пользователей».

Предыдущие публикации:

2002-01-09		Ученые совершили прорыв в области компрессии данных
2002-05-20		В сеть Kazaa забрался червь
2002-06-05		Новый вирус жалит, не разбирая платформ

В продолжение темы:

2002-06-19		Отчет: интенсивность потока вирусов удвоилась
2002-07-08		Касперский: «Интернет необходимо запереть»

Обсуждение и комментарии

	walt 14 Jun 2002 11:19 AM
Бред какой-то. Комп должен быть заранее заражен экстрактором. Это никакой не вирус. Это способ скрытного обновления вируса. И при чем здесь jpeg? Код можно добавить в любой формат, имеющий, например, поле для скрытых комментариев.

	Mike 14 Jun 2002 12:09 PM
Нет нет! Вовсе это не бред. Это опасный признак. JPEG действительно не причем, а вот идея... Используя эту идею терпеливый хакер может создать вполне безобидный и даже полезный экстрактор, который распространится по огромному числу компьютеров. А в час икс достаточно будет сделать массовую рассылку изображения, в виде рекламы например. Помните "Чернобыль"? Его главная разрушительная сила была в терпении, которое проявил автор. Вирус успел широко распространиться до того, как была выяснена его природа.

	- 14 Jun 2002 12:46 PM
А еще можно добавить и MP3 теперь.

	Иванов - ivanov_snewmail.ru 14 Jun 2002 12:55 PM
Согласен с walt, вирусы из двух частей давно уже были... Теперь только ко второй части приписали расширение jpeg... Ничего нового...

	Банч 14 Jun 2002 1:22 PM
2 Mike: это раньше вирус мог по полгода сидеть на компе и его никто не замечал, если он экран не переворачивал ;) а теперь - через день выйдет обновление антивирусников и через неделю вирус можно будет найти только в музее ... где он и будет ждать часа Х :) хотя конечно есть те, кто никогда не проверяет свои системы ...

	eXOR - billgmicrosoft.com 14 Jun 2002 1:37 PM
2 Банч: Это из - за того, что они себя слишком быстро и явно проявляют... Время вирусных шедевров возвращается...

	Paladin 14 Jun 2002 2:28 PM
Теперь куча чайников будет носиться с воплями о том, что jpeg необходимо проверять на вирус, ссылаясь на "авторитетное" издание. Хоть бы примечание от редакции делали что-ли...

	qwerty 14 Jun 2002 11:35 PM
Дожили! Мало того, что приходится пользоваться презервативами из-за СПИДа, так теперь и порнушку придется смотреть через тёмные очки!

	Anti-MS 15 Jun 2002 2:18 AM
Вирусы это злобная выдумка врачей чтоб оправдать свою зарплату. Неужели вам не кажется странной идея что в процессе секса маленькие такие штуки, которые никто не видел, в вас забираются и вы мрете??? А компьютерные вирусы это злобная выдумка програмеров пытающихся оправдать то что их ось и софт не пашут! Есть ли жизнь внутри файлов???

	glassy 15 Jun 2002 11:14 AM
У меня winbox стоит без антивируса.... Надеюсь на свою чистоплотность :)

	prodigy_ - prodigy_mail.ru 16 Jun 2002 12:29 PM
2 Anti-MS: Просто супер коммент! Мне понравилась твоя аргументация! Чувак, реально ты крут!

	prodigy_ - prodigy_mail.ru 16 Jun 2002 12:35 PM
Кстати эта статья интересна как раз в связи с недавним обсуждением того, реально ли написать действительно сложный и при этом трудновывляемый вирус - мол где он тогда будет прятать свой обширный код. Вот собсно и ответ. Но JPEG - это так, разминка. Вы представьте себе грядущую в скором пору всеобщего широкополосного доступа, когда средний скачиваемый файл (например, видео) будет размером метров в 100. Вот где можно развернуться. Прячешь большую часть кода в файлах данных, причем фиг его там еще найдешь, если он шифрованный. А вирус только и делает, что собирает модули воедино.

	Qrot 16 Jun 2002 1:48 PM
2prodigy_: более того, медиа проигрыватели становятся другой частью трояна и позволяют производителю контролировать покупателей - напрммер для выявления пиратов :) чисто теоретически - у AOL Time Warner есть все шансы на такой контроль (с одной стороны - медиа от Warner Bros, а с другой - медиа-проигрыватель для AOL-users)

	Слопер 17 Jun 2002 4:09 PM
Странно, что до этого дяди из развлекательного бизнеса не додумались. Или, если не они, то те, кто им предлагает всяческие средства от несанкционированного копирования.

← май 2002

10 11 12 13 14 15 16 17 18

июль 2002 →