Av
| 
Varningarna är de första bevisen på attacker som utnyttjar en allvarlig lucka som Microsoft identifierade och patchade den 14 september. Användare som laddar ned de skadliga bilderna kan få ett program för fjärrstyrning installerat och programmet ger en angripare fullständig kontroll över datorn.
Bilderna postades under måndagen i ett antal nyhetsgrupper, till exempel alt.binaries.erotica.breasts, av en användare med e-postadressen Power-Poster@power-post.org. Det framgår av information som publicerats bland annat på säkerhetsforumet Bugtraq, skriver IDG News.
De modifierade bilderna går inte att skilja från andra bilder som postats i nyhetsgrupperna, men innehåller en aningen ändrad version av en så kallad exploit-kod döpt till "Jpeg of Death" som dök upp under helgen. Koden använder jpeg-filer för att utföra en överfyllnadsattack på Windowskomponenten GDI+, en jpeg-avkodare som används av Windows XP, Internet Explorer, Outlook och många andra Windowsprogram.
När filen öppnas av en användare försöker den installera Radmin. Radmin är ett legitimt fjärrstyrningsprogram som används av användare som vill kontrollera sin dator på distans. Men i det här fallet används programmet som en trojan av hackarna. Infekterade datorer beordras också att rapportera till en irc-kanal (Internet relay chat), skriver IDG News.
Antivirusföretag tonar än så länge ned faran med de postade bilderna. Eftersom den skadliga koden i bildfilerna inte kan sprida sig automatiskt handlar det, definitionsmässigt, inte om ett virus.
Koden kan dock lätt förses funktioner som gör att den sprids via e-post när en bild öppnas och säkerhetsexperter varnar för att sårbarheten i GDI+ kan leda till att en ny farlig virusmask skapas och snart börjar spridas. Att sårbarheten kan angripas från distans och nås genom ett stort antal Windowsprogram, däribland Internet Explorer och Outlook, gör möjligheten lite för bra för att hackarna ska kunna låta bli.
Förutom att GDI+ är en standardkomponent i Windows, sprider andra program sina egna versioner av komponenten. Versionerna lagras ibland i mappar som används av program som inte omfattas av den säkerhetsuppdatering Microsoft har gjort tillgänglig. GDI+ kan på det här sättet också spridas och installeras efter att patchen kommit på plats och därmed sätta patchen ur spel.
De flesta antivirusprogrammen på marknaden hittar korrupta jpeg-bilder, så uppdaterat antivirus i kombination med Microsofts säkerhetsuppdatering är för tillfället det skydd som finns mot attacker som kan komma att utnyttja luckan i GDI+, skriver IDG News.
Microsofts säkerhetsuppdatering hittar du på: http://www.microsoft.com/technet/security/Bulletin/MS04-028.mspx
Bilderna postades under måndagen i ett antal nyhetsgrupper, till exempel alt.binaries.erotica.breasts, av en användare med e-postadressen Power-Poster@power-post.org. Det framgår av information som publicerats bland annat på säkerhetsforumet Bugtraq, skriver IDG News.
De modifierade bilderna går inte att skilja från andra bilder som postats i nyhetsgrupperna, men innehåller en aningen ändrad version av en så kallad exploit-kod döpt till "Jpeg of Death" som dök upp under helgen. Koden använder jpeg-filer för att utföra en överfyllnadsattack på Windowskomponenten GDI+, en jpeg-avkodare som används av Windows XP, Internet Explorer, Outlook och många andra Windowsprogram.
När filen öppnas av en användare försöker den installera Radmin. Radmin är ett legitimt fjärrstyrningsprogram som används av användare som vill kontrollera sin dator på distans. Men i det här fallet används programmet som en trojan av hackarna. Infekterade datorer beordras också att rapportera till en irc-kanal (Internet relay chat), skriver IDG News.
Antivirusföretag tonar än så länge ned faran med de postade bilderna. Eftersom den skadliga koden i bildfilerna inte kan sprida sig automatiskt handlar det, definitionsmässigt, inte om ett virus.
Koden kan dock lätt förses funktioner som gör att den sprids via e-post när en bild öppnas och säkerhetsexperter varnar för att sårbarheten i GDI+ kan leda till att en ny farlig virusmask skapas och snart börjar spridas. Att sårbarheten kan angripas från distans och nås genom ett stort antal Windowsprogram, däribland Internet Explorer och Outlook, gör möjligheten lite för bra för att hackarna ska kunna låta bli.
Förutom att GDI+ är en standardkomponent i Windows, sprider andra program sina egna versioner av komponenten. Versionerna lagras ibland i mappar som används av program som inte omfattas av den säkerhetsuppdatering Microsoft har gjort tillgänglig. GDI+ kan på det här sättet också spridas och installeras efter att patchen kommit på plats och därmed sätta patchen ur spel.
De flesta antivirusprogrammen på marknaden hittar korrupta jpeg-bilder, så uppdaterat antivirus i kombination med Microsofts säkerhetsuppdatering är för tillfället det skydd som finns mot attacker som kan komma att utnyttja luckan i GDI+, skriver IDG News.
Microsofts säkerhetsuppdatering hittar du på: http://www.microsoft.com/technet/security/Bulletin/MS04-028.mspx
Den här artikeln har null kommentarer:
Molnigt på idg.se?
