NEWS - W32/Perrun - Panikmache um JPEG-Virus

W32/Perrun - Panikmache um "JPEG-Virus"

Eine Horrormeldung geht im Netz wie ein Lauffeuer umher. Ein Virus, der sich in JPEG-Dateien (Bildern) versteckt, soll schon beim Betrachten der Bilddatei eine Infektion auf dem System hervorrufen. Sicherlich der "Traum" eines jeden Virenautors so einen Virus als erste Person entwickelt zu haben. Bekanntlich wird jedoch nicht alles so heiß gegessen, wie es gekocht wird.

Vielmehr handelt es sich um die "Studie" eines Virenautors, der seine Erkenntnisse an AntiVirus Firmen geschickt hat. Lediglich sollte aufgezeigt werden, was alles möglich wäre. Auch wenn diese Methode eigentlich seit Jahren in der AV-Branche bekannt sein dürfte. Angeblich wurde dieser Virus nie in den Umlauf gebracht.

So arbeitet W32/Perrun

Zunächst einmal muss der Anwender den Anhang (proof.exe - 11.780 Bytes ) einer eingehenden Mail selber ausführen. Dabei legt die "proof.exe" eine Datei unter dem Namen "extrk.exe" (5.636 Bytes) im System an. Dazu wird ein Eintrag in der Registry angelegt:

HKEY_CLASSES_ROOT\jpegfile\shell\open\command
"(Default)" = (current directory)\EXTRK.EXE %1

Dieser bewirkt, dass bei Doppelklick auf eine JPEG-Datei (bzw. auch .jpg) zuerst einmal die "extrk.exe" ausgeführt wird, bevor das eigentliche Programm zur Anzeige der Bilddateien startet. Nun prüft der Extraktor ("extrk.exe"), ob die Bilddatei schon mit dem schädlichen Code infiziert ist. Sollte das der Fall sein, so wird dieser Code aus der Bilddatei extrahiert und ausgeführt.

Die Schadensroutine besteht darin, dass der Virus seinen Code in eine weitere JPEG-Datei im gleichen Verzeichnis integriert. Die Datei wächst dann um 11.780 Bytes gegenüber der eigentlichen Datei. Bei jedem Vorgang geschieht dieses nur einmal. Es werden nicht mehrere Bilddateien gleichzeitig infiziert !

Noch einmal zum "mitschreiben":

Wenn sich auf dem System nicht die Datei "extrk.exe" befindet, besteht auch keine Gefahr eine Bilddatei zu öffnen. Das gilt auch für verseuchte JPEG-Dateien, die durch Doppelklick aktiviert werden. Ein verseuchtes Bild benötigt also immer die Extraktor-Datei ("extrk.exe"), die ohnehin vor der Anzeige des eigentlichen Bildes gestartet wird, um eventuell schädlichen Code aus dem Bild zu extrahieren.

Es sind keine Viren, Würmer oder Trojaner bekannt, die sich ohne "fremde Hilfe" aus Bilddateien ausführen lassen. Hierzu ist stets eine ausführbare Datei (wie in diesem Fall eine EXE-Datei) notwendig. Jedoch arbeiten viele Virenautoren auf der ganzen Welt seit Jahren an Möglichkeiten Viren vor allem in Bilddateien so zu verstecken, daß diese schon bei Doppelklick der Datei ausgeführt werden. So richtig gelungen ist es jedoch scheinbar noch keinem.

Infos der Firma Sophos zu W32/Perrun-A

(tt) 15.06.2002

Vorsicht: Software-Raubkopien für macOS enthalten Proxy-Trojaner

Hacker-Elite trifft sich zum Pwn2Own

Neunmal Cybersicherheit 2022

HTTPS nicht mehr ganz so sicher?

Schutz vor digitaler Ausspähung: So verschlüsseln Sie Ihre Festplatte sowie Daten und sichern Ihre Privatsphäre