Il virus che penetra nel JPEG

Le immagini jpg, uno dei formati più diffusi sulla rete, possono essere vittima di un nuovo virus che assomiglia più ad un concetto che ad un problema

Roma - Gli esperti lo considerano il primo virus di questo tipo ed è un codice malevolo capace in certe condizioni di infettare i file prodotti in JPEG (.jpg), uno standard che ha enorme diffusione in rete perché consente di comprimere, in un pugno di byte, file grafici di grandi dimensioni.

W32/Perrun, come l'ha chiamato McAfee, viene però considerato più alla stregua di un "concept virus" che di un pericolo vero e proprio. Quello che interessa, cioè, è come funziona e perché è nato più che la sua peraltro minima capacità di creare danni o infettare i sistemi Windows a cui è "dedicato".

"Riteniamo che si tratti del primo della sua specie - ha dichiarato Vincent Gullotto, esperto di Network Associates - non è un pericolo ma dimostra come chi scrive virus stia cercando nuovi metodi di infezione".
Perrun è un file eseguibile infetto che, se fatto partire, è capace di inserire in un sistema Windows un'applicazione che viene eseguita ad ogni reboot di Windows. Questo applicativo deposto all'interno è in grado di infilare il virus alla fine di ogni file.jpg ogni volta che l'utente ne apre uno.

Il virus non si diffonde, perché se un'immagine infetta passa da un computer ad un altro il virus contenuto dal file non è in grado di colpire la macchina se nel sistema non è già stato deposto il secondo applicativo. Tutto questo può sì tradursi in un rallentamento dovuto alle immagini più grandi e soprattutto alla scansione antivirus delle stesse, ma non certo in una epidemia incontrollata.

Secondo Sophos, un altro produttore di software antivirus, dietro Perrun potrebbe esserci l'autore di W32/Alcop, un worm che prende di mira gli utenti di Microsoft Outlook spacciandosi come filmato piccante dell'attrice a luci rosse Aria Giovanni.
TAG: sw
64 Commenti alla Notizia Il virus che penetra nel JPEG
Ordina
  • ...non sono sicuro ma ho l'impressione già di aver sentito tempo fa una notizia simile...
    non+autenticato
  • mi sa di gran boiata,visto che l'applicativo che "apre" il file mica esegue il codice al suo interno,ma decodica il codice per rappresentare un immagine a punti:quindi se c0è del codice in più,il browser segnale che il file non è valido.
    non+autenticato
  • No non è cosi se c'è del codice in più non lo esegue.
    non+autenticato
  • Dicci dicci
    non+autenticato
  • Volevo ricordare che ho tolto la spunta alla funzione nascondi le estenzioni dei file per i tipi di file conosciuti,quindi su ogni file mi deve visualizzare la VERA estensione,pero quando l' antivirus segnalò quel file ricordo benissimo che aveva un nome giapponese.jpeg e basta.Non vi erano altre estensioni.Del resto non ho potuto conservare quel file in quarantena perche l' antivirus non poteva nè eliminarlo nè metterlo in quarantena.Vorrei dei chiarimenti.Grazie anticipatamente
    non+autenticato
  • mi risulta che i sistemi windows associno i file alle applicazioni in base all'estensione.
    se ad un eseguibile togli l'estensione .exe e gli dai .jpg, teoricamente questo non può più eseguire il codice al suo interno. aspetto smentite.

    ho letto che in realtà il codice maligno è nell'eseguibile (credo autoestraente) che contiene la jpeg. ma non mi pare che l'articolo dica questo. fosse davvero l'eseguibile ad essere virato l'antivirus lo rileverebbe. di solito gli antivirus non scansionano i jpeg. e qui sta la pericolosità. mi aiutate a capire questa cosa?

    possibile che ognuno di voi dia una versione diversa? ma che informatici siete?

    salut

    non+autenticato
  • Alessandro tu dici che gli antivirus non scansionano i file jpeg.Allora come può essere che il mio Antivirus(sempre AGGIORNATO ED IL MIGLIORE SUL MERCATO)rilevò a suo tempo nel FILE:Uebyvai_suka_otsvudata.gif il virus JS Exception Exploit(raccolgo tali notizie dal registro attività del mio Antivirus).Ripeto che il mio Antivirus non poté né metterlo in quarantena né eliminarlo,dicendomi infine che l' accesso al file era NEGATO.Cosi andai nei file temporanei ed eliminai manualmente quella gif infetta insieme a tutti gli altri file Temporanei.Cosa ne pensi? Fammi Sapere.
    non+autenticato
  • Volevo solo dire che mi sono imbattuto in un virus contenuto in una jpeg.Infatti il mio antivirus(Il Migliore) ha rilevato in una jpeg Con un nome Giapponese Il Virus JS Exception Exploited;non ha saputo eliminarla ne metterla in quarantena,quindi ho dovuto eliminarla manualmente dai file temporanei.Volevo sapere se quella era una jpeg o come penso un eseguibile infetto rinominato in jpeg
    non+autenticato
  • Fondamentalmente il virus non viene eseguito dal .jpg, che per definizione è un file di dati e non eseguibile (d'accordo, esistono anche i buffer overflow, ma in questo caso non c'entrano nulla).

    I file .jpg funzionano semplicemente come dei "trigger", cioè l'apertura degli stessi è l'evento che attiva il virus.

    Tale virus però risiede effettivamente nel file eseguibile EXTRK.EXE che estrae i file .jpg, e che è appunto il file effettivamente infettato dal virus.

    In altre parole, non è il .jpg ad essere effettivamente infettato, ma il programma che li estrae. Si potrebbe fare una cosa del genere con gli .mp3 per esempio, infettando WinAmp: ogni volta che aprireste un .mp3, WinAmp verrebbe eseguito e verrebbe eseguito anche il virus in esso contenuto... ma non sarebbe certo il file audio il problema che di per sé sarebbe soltanto l'evento scatenante.

    Nel caso specifico delle .jpg, la chiave di registro in questione (quella che richiama il programma quando fate un doppio click su una .jpg) è il seguente:

    HKEY_CLASSES_ROOT\jpegfile\shell\open\command
    "(Default)" = (current directory)\EXTRK.EXE %1
    non+autenticato
  • Tu sei un gallo.
    Danilo
    MCP
    HP Netserver certified
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)