Mega-Virus verbreitet sich über Bild-Dateien

30. Dezember 2004, 13:57
46 Postings

JPEG-Exploit verursacht Schreckens-Szenarien

Der deutsche IT-Security-Spezialist Aladdin warnt vor einem potenziellen "Mega-Virus", der sich über JPEG-Dateien verbreitet. Eine bereits lokalisierte Sicherheitslücke ermöglicht es Dialer, Trojaner und Viren mit Hilfe eines speziell präparierten JPEG-Bildes auf fremde Rechner zu schleusen. Laut Aladdin fehlt dem Exploit in der Evolution zu einem noch gefährlicheren Wurm nur noch eine eigene SMTP-Engine, um sich in E-Mails von selbst als Bildanhang zu versenden.

Möglichkeiten

Der Sicherheitsspezialist geht von drei möglichen Szenarien aus: E-Mails mit infizierten JPEG-Attachements könnten von Desktop-Antivirus-Lösungen nicht entdeckt werden, weil diese auf Dateiendungen und MIME-Typen angewiesen sind, um Bilder zu identifizieren. Die meisten Gateway-Sicherheitslösungen überprüfen aus Performance-Gründen keine JPEG-Files in HTTP und FTP. Oder ein Spammer sendet eine E-Mail, die einen HTML-Link zu einer infizierten JPEG-Datei enthält.

"Alles andere als beruhigend"

Entscheidend ist laut Aladdin, dass die infizierten Bilddateien nicht nur auf manipulierten Web-Servern abgelegt sein können, sondern auch auf vorher infizierten Rechnern, die jetzt als scheinbar harmlose Web-Server ihren Dienst verrichten. Die Experten von Aladdin sehen hier Parallelen zu Nimda und anderen Würmern, die Microsoft IIS Web-Server attackiert haben. "Die Schlussfolgerung aus den bisherigen Erkenntnissen zum JPEG-Exploit und der realistische Hintergrund ist alles andere als beruhigend", kommentiert Shimon Gruper, Vice President of Technologies bei Aladdin. "So könnte bereits in naher Zukunft ein Mega-Wurm dieses Typs auftauchen und einen immensen Schaden bei Hunderttausenden von Unternehmen weltweit anrichten", so Gruper.

Prävention

Zur Prävention empfiehlt Aladdin folgende Schritte: Unternehmen sollten sich nicht auf Content-Inspection-Lösungen für SMTP und interne Mail-Server verlassen, sondern eine Gateway-Lösung installieren. Die Identifikation von JPEG-Dateien sollte sich nicht auf Dateiendungen oder Content-Typ stützen, um Spoofing zu verhindern. JPEG-Files müssten Paket für Paket in Echtzeit und nicht erst nach dem kompletten Download überprüft werden, um Latenzzeiten zu vermeiden. (pte)

Share if you care.