[HaBo]

Flou · 14.06.02, 17:33

Als Proof-of-Concept ist der Virus W32/Perrun zu verstehen. Laut Antivirenspezialist McAfee ist Perrun der erste Schädling, der JPEGs infizieren kann. Der Autor hat den Virus direkt an McAfee geschickt, Perrun ist aber nicht im Umlauf.

Befürchtungen, dass JPEGs als Mailanhänge den Rechner infizieren, sind laut McAfee erst einmal unbegründet. Um zu funktionieren, braucht der Proof-of-Concept-Virus quasi zur Vorbereitung eine EXE-Datei, mittels der er Einträge in die Registry vornimmt. Die EXE-Datei landet in Form eines PE-Files (UPX gepackt) auf dem Rechner, teilte McAfee mit.

Nur auf derart infizierten Rechnern greift das Konzept der verseuchten JPEGs. Der von McAfee "Extractor" benannte Teil des Virus prüft anschließend bei jedem JPEG, das geöffnet wird, ob es mit Code verseucht ist. Ist das der Fall, führt der Extractor den Code im JPEG aus.

Die Schadensladung ist moderat konzipiert. Jeweils ein weiteres JPEG im gleichen Verzeichnis - so vorhanden - bekommt den Code eingeimpft und wächst dabei um 11.780 Byte an. Der "Virus-Extractor" versucht dann, das JPEG mittels System-DLL wie vom Benutzer gewünscht anzuzeigen.

Letztlich unterscheidet sich das Konzept von W32/Perrun bei der Infektion nicht von anderen Schädlingen, da der Benutzer eine Datei ausführen muss. Hat diese Extractor-Datei sich aber einmal ins System eingeschlichen, reicht ein "harmloses" JPEG, um weiteren Schaden anzurichten.

STeFaN · 25.06.02, 12:02

Guten Tag,

Der 21 Jahre alte Filipino Paul Glenerson Amurao bekannte sich im Rahmen eines Interviews dazu, den Schädling W32/Perrun geschrieben zu haben. "

Der Virus sorgte in den vergangenen Tagen aufgrund von teilweise Panik verbreitenden Berichten für Verwirrung; der Schädling der fälschlicherweise als erster "JPG-Virus" gemeldet wurde, ist eigentlich nur ein normaler ".exe-Virus", der bei Ausführung seinen Code an eine JPG-Datei anhängt. Das Betrachten solcher .jpg-Dateien löst allerdings keine Infektion aus und ist daher ungefährlich.

Amurao behauptete, den Virus mit Microsofts Visual Basic geschrieben zu haben. Was dem Viren-Autor jetzt blüht, ist noch nicht bekannt:
Der Autor des Loveletter-Wurms, ein philippinischer Informatik-Studenten namens Onel de Guzman, ging seinerzeit straffrei aus, weil es damals auf den Philippinen noch keine Gesetze gegen die Erstellung und Verbreitung von Viren gab.
Dies ist jedoch seit Juni 2000 anders. Mildernd dürfte sich allerdings auswirken, dass Amurao den Schädling nicht aktiv verbreitet, sondern offenbar nur an Antivirus-Unternehmen verschickt hat.

Man sollte nicht alles glauben was man liest!

Gruss Stefan

Anzeige

- Anzeige -

14.06.02, 17:33	#1 (permalink)
Flou Senior Member Registriert seit: 02.10.01 Likes: 0	Erster theoretischer JPEG-Virus Anzeige Als Proof-of-Concept ist der Virus W32/Perrun zu verstehen. Laut Antivirenspezialist McAfee ist Perrun der erste Schädling, der JPEGs infizieren kann. Der Autor hat den Virus direkt an McAfee geschickt, Perrun ist aber nicht im Umlauf. Befürchtungen, dass JPEGs als Mailanhänge den Rechner infizieren, sind laut McAfee erst einmal unbegründet. Um zu funktionieren, braucht der Proof-of-Concept-Virus quasi zur Vorbereitung eine EXE-Datei, mittels der er Einträge in die Registry vornimmt. Die EXE-Datei landet in Form eines PE-Files (UPX gepackt) auf dem Rechner, teilte McAfee mit. Nur auf derart infizierten Rechnern greift das Konzept der verseuchten JPEGs. Der von McAfee "Extractor" benannte Teil des Virus prüft anschließend bei jedem JPEG, das geöffnet wird, ob es mit Code verseucht ist. Ist das der Fall, führt der Extractor den Code im JPEG aus. Die Schadensladung ist moderat konzipiert. Jeweils ein weiteres JPEG im gleichen Verzeichnis - so vorhanden - bekommt den Code eingeimpft und wächst dabei um 11.780 Byte an. Der "Virus-Extractor" versucht dann, das JPEG mittels System-DLL wie vom Benutzer gewünscht anzuzeigen. Letztlich unterscheidet sich das Konzept von W32/Perrun bei der Infektion nicht von anderen Schädlingen, da der Benutzer eine Datei ausführen muss. Hat diese Extractor-Datei sich aber einmal ins System eingeschlichen, reicht ein "harmloses" JPEG, um weiteren Schaden anzurichten.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
JPEG-Virus und wie man ihn unterbindet	LX	(In)security allgemein	2	22.02.06 02:12
Erster Virus für Windows CE	4future	News & Ankündigungen	0	20.07.04 11:34
erster "PoC" Handy-Virus in "the wild"	Rushjo	News & Ankündigungen	11	25.06.04 22:52
JPEG Komprimierungsprogramm	Flou	Off topic-Zone	8	30.05.03 08:04

25.06.02, 12:02	#2 (permalink)
STeFaN Registriert seit: 02.10.01 Likes: 0	Guten Tag, Der 21 Jahre alte Filipino Paul Glenerson Amurao bekannte sich im Rahmen eines Interviews dazu, den Schädling W32/Perrun geschrieben zu haben. " Der Virus sorgte in den vergangenen Tagen aufgrund von teilweise Panik verbreitenden Berichten für Verwirrung; der Schädling der fälschlicherweise als erster "JPG-Virus" gemeldet wurde, ist eigentlich nur ein normaler ".exe-Virus", der bei Ausführung seinen Code an eine JPG-Datei anhängt. Das Betrachten solcher .jpg-Dateien löst allerdings keine Infektion aus und ist daher ungefährlich. Amurao behauptete, den Virus mit Microsofts Visual Basic geschrieben zu haben. Was dem Viren-Autor jetzt blüht, ist noch nicht bekannt: Der Autor des Loveletter-Wurms, ein philippinischer Informatik-Studenten namens Onel de Guzman, ging seinerzeit straffrei aus, weil es damals auf den Philippinen noch keine Gesetze gegen die Erstellung und Verbreitung von Viren gab. Dies ist jedoch seit Juni 2000 anders. Mildernd dürfte sich allerdings auswirken, dass Amurao den Schädling nicht aktiv verbreitet, sondern offenbar nur an Antivirus-Unternehmen verschickt hat. Man sollte nicht alles glauben was man liest! Gruss Stefan

[HaBo]

Erster theoretischer JPEG-Virus