Опасные картинки
Ким Леджелис
03.05.2005
Если вы получили почтовое вложение, будьте начеку. Не открывайте файлы, которые выглядят подозрительно!
Благодаря публичному обсуждению проблем информационной безопасности пользователи, похоже, усвоили эти нехитрые правила защиты от вирусов. И все же сугубая осторожность не помешает, поскольку некоторые из прописных истин, гласящих, к примеру, что вирус всегда является исполняемым файлом или что графические и текстовые файлы безвредны по своей природе, не вполне верны. Недавно открытая уязвимость при работе ряда программ для просмотра рисунков заставила вспомнить о том, что хакеры в состоянии внедрить вредоносный код даже в файлы JPEG! Впрочем, поддаваться панике не стоит: пока атаки, вызываемые файлами данного типа, немногочисленны. Но и с учетом этого бдительность терять нельзя. Приведем несколько примеров атак, связанных с JPEG-файлами, и поговорим о мерах предосторожности.
Perrun
О вирусе Perrun, появившемся в 2002 г., писали немало. При всей своей безобидности он остается первым примером вирусного кода, способного поражать JPEG-файлы. Как и подобные ему, Perrun скрывает вирусный код во внешне безвредном файле, в данном случае в рисунках JPEG. Но, в отличие от прочих, Perrun не может самостоятельно запускаться или рассылать многочисленные копии другим получателям. Для извлечения и исполнения вирусного кода, скрытого в JPEG-файле, требуется «троянский» компонент. Появление Perrun доказало: файлы изображений тоже могут быть атакованы. После этого «вирусописатели» пошли дальше и стали разрабатывать комбинации «JPEG + троян», что может привести к созданию куда более опасных вирусов.
Не JPEG, а вирус!
Хакеры нередко пользуются тем, что файлы JPEG выглядят безобидно и широко распространены. По Интернету гуляют зараженные сообщения, предлагающие полюбоваться на Дженнифер Лопес или взглянуть на снимки футбольного матча. Многие ни о чем не подозревающие пользователи уже попались в эту ловушку. Оказывается, вредоносный код скрывается в ложном JPEG-файле. Инфицированный файл выглядит как графический, но в действительности имеет двойное расширение и представляет собой исполняемый код. Не так давно похожий способ завлечения жертвы был применен в «червях» Bropia.F и Bobax.H. В файле Bropia на первый взгляд содержались эротические фотографии, а Bobax обещал фото мертвого Саддама Хуссейна, но те интернет-пользователи, которые поверили, что открывают файлы изображений, заразили свои компьютеры. Чтобы избежать этой ловушки, рекомендуется с помощью своевременно обновляемой антивирусной программы проверять перед открытием каждый вложенный файл.
В файле JPEG может прятаться троян
В сентябре 2004 г. на некоторых интернет-форумах в изобилии появились порнографические фотографии-ловушки: попытка открыть или просмотреть изображение грозила пользователю «троянской» атакой. Механизм ловушки основывался на одной ошибке в программном обеспечении Microsoft, предназначенном для просмотра изображений. Заметим, кстати, что эта ошибка была устранена в тот же день, когда появился вирус. Но, как всегда, большая часть пользователей не обновила вовремя программное обеспечение и, следовательно, попала в «группу риска». Другие фотографии-ловушки с грудастыми красотками рассылались через службу мгновенных сообщений AOL. Каким же образом просмотр изображения может спровоцировать вирусную инфекцию? Дело в том, что вирус эффективно использовал уязвимость графического интерфейса устройств (Microsoft Graphics Device Interface Plus, GDI+). В раздел примечаний программы хакеры поместили код, вызывающий переполнение буфера памяти. Это в свою очередь приводило к проникновению троянов. Чтобы защитить пользователей Интернета от подобных угроз, Symantec предлагает в составе своего антивирусного пакета служебную программу, проверяющую подлинность изображений JPEG.
Winamp — жертва «скинов»
В заключение упомянем еще пример вирусного кода, скрытого в графических файлах и использующего ошибку в проигрывателе Winamp. Так называемые «скины» (файлы, с помощью которых изменяется внешний вид программного обеспечения) для этого проигрывателя в действительности могут служить средством передачи вирусной инфекции. Данная ошибка была устранена в августе 2004 г., но сам факт еще раз напомнил об уязвимости таких, казалось бы, безвредных файлов, как файлы изображений.
Ким Леджелис — директор департамента корпоративных решений корпорации Symantec
Журнал "Мир ПК", #05, 2005 год // Издательство "Открытые системы" ( www.osp.ru )
Постоянный адрес статьи: http://www.osp.ru/pcworld/2005/05/083.htm