OMFG new Virus@jpg

Fuchs

keeping smiling :-)

Registered: Jan 2003
Location: OÖ//Wartberg
Posts: 1534

12.02.2003 - 18:32

Nach langem fragen wer mir wohl zu meinem Problem mit den Werbe-pop-ups wohl helfen könnte hat mich ein Tipp eines Freundes auf die Seite geführt:
[quote]Originally Text by http://www.t-online.de

t-online-Link

Erster "Jpeg"-Virus

Neue Qualität der Bedrohung

Eine völlig neue und extreme Form der Bedrohung steht den Internet-Nutzern bevor: Der Virus "W32/Perrun" versteckt sich in Bilddateien im beliebten ".jpg"-Format . Der größte Teil der Bilder im Internet ist als ".jpg" gespeichert und auch Digitalkameras nutzen überwiegend diese Form der Komprimierung, die von der "Joint Photographic Experts Group" standardisiert wurde .
Letzte Sicherheit verloren
Bislang konnten Viren nur in ausführbaren Dateiformaten wie ".exe" oder ".vbs" versteckt werden. Reine Daten-Dateien galten als sicher, denn Viren konnten solche Dateien nur beschädigen oder zerstören.

Code in Bilddatei
Mit "Perrun" geht diese Sicherheit verloren, da der Schädling Programm-Code in Bilddateien einfügen kann. So lässt sich der Virus als eMail-Anhang, über Internet-Seiten oder über Tauschbörsen problemlos verbreiten.

Helfer benötigt
Derzeit benötigt der Virus noch die Hilfe der kleinen Datei "PROOF.EXE". Wird diese ausgeführt, installiert sich ein Programm namens "EXTRK.EXE" auf dem befallenen PC und trägt sich selbsttätig in die Windows-Registrierdatenbank ein.

Bilder werden normal angezeigt
Die "EXTRK.EXE" sucht auf der Festplatte nach Jpeg-Dateien, und infiziert diese, sobald die Bilddatei geöffnet wird. Besonders heimtückisch ist der Umstand, dass der Nutzer davon nichts mitbekommt, die Bilder werden völlig normal angezeigt. Einziges Erkennungsmerkmal ist eine Veränderung der Dateigröße. Die betroffenen Bilddateien sind nach der Infektion rund zwölf Kilobyte größer - nur wer merkt sich schon die genaue Bildgröße der Bilder in seinem Fotoarchiv.

Die gute Nachricht
In der ersten Version richtet der Virus keinen Schaden auf den befallenen PCs an und ist auf die Ausführung der "PROOF.EXE" angewiesen. Allerdings ist zu befürchten, dass sich jetzt die Virenprogrammierer-Szene angespornt fühlt, eine Version zu entwickeln, die sich selbsttätig verbreiten kann. Durch die Kombination mit eher harmlosen, aber sich schnell verbreitenden Viren ( wie z.B. "Klez") könnten die zum Ausführen der Schadroutine benötigten ".exe"-Dateien ebenfalls auf den Rechner des Nutzers gelangen. So würde eine schwer beherrschbare Viren-Mixtur enstehen. Außerdem ist auch eine Übertragung des Funktionsprinzips auf andere Dateiformate wie Z.B. ".txt" oder ".mp3" denkbar. Dann ist es nur noch eine Frage der Zeit, bis die ersten Varianten auftauchen, die ernsthaften Schaden an den befallenen Systemen anrichten

Schlimmster Virus aller Zeiten
Ein massives Problem stellt immer noch der "Klez"-Wurm dar, der sich ständig weiter versendet und dabei auch noch mit gefälschten Absender-Adressen arbeitet.

Fußballfans im Visier
Die Weltmeisterschaft in Korea und Japan begeistert weltweit die Sportfans. Doch durch die Zeitverschiebung müssen in Europa die meisten Menschen arbeiten, wenn die Spiele ausgetragen werden. Die aktuellen Spielstände sind daher heiß begehrt. So wundert es nicht weiter, dass viele Nutzer auf eine Mail hereinfallen, die ein Tool zur kostenlosen Abfrage der Ergebnisse verspricht.

Shakira verbreitet sich rasant
Erst kürzlich wurde ein Virus in Umlauf gesetzt, der heiße Fotos des Popstars Shakira verspricht.

Virenscanner aktualisieren
Informationen über entsprechende Updates, die aktuelle Viren erkennen und entfernen, finden sich auf den Homepages der Hersteller von Virenschutz-Programmen.

Mehr Sicherheit und Komfort
Alternativ bietet das neue Komfortpaket von T-Online mit der Virenschutz-Software "Antivirus" eine attraktive Lösung zum Schutz vor Viren-Angriffen. Praktisch: Sobald eine Internet-Verbindung besteht, werden die neuesten Virendefinitionen automatisch heruntergeladen.
[/quote]

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

12.02.2003 - 18:36

Ein jpg-virus wär einer, in dem das jpg durch einen buffer-overflow oder ähnliches code ausführen würde.
das ist nicht der fall -> ergo nicht wichtig oder gefährlich.

crashman

OC Addicted

Registered: Oct 2001
Location: Vienna
Posts: 891

12.02.2003 - 18:37

sehr suspekt

wenn ich das richtig verstehe bekommst du eine infizierte jpg datei auf deinen rechner die aber erst schaden anrichtet wenn die zug. exe auch da ist ? Wo liegt da der sinn ? Kann man ja gleich nur die exe "verschicken" ???

DKCH

Administrator
...

Registered: Aug 2002
Location: #
Posts: 3298

12.02.2003 - 18:40

fällt imho eher in die kategorie "panikmache"

Zitat
If a .jpg or .txt file that has been altered by W32.Perrun is opened on another, uninfected computer, it will not execute malicious actions on that computer because the virus requires the presence of the Extrk.exe or Textrk.exe file for it to execute and append its malicious content to other files.
Upon execution of the viral executable which is detected as W32.Perrun.dr, the virus does the following:
It drops the files:
Reg.mp3. This is a registry file that the virus uses to modify the registry.
Extrk.exe or Textrk.exe. This is the executable that will be configured in the registry to open all JPEG or TXT files.

Depending upon which variant of W32.Perrun, the virus will perform one of the following actions:
For the variant that appends to JPEG files
Extrk.exe is then configured to open all JPEG files by changing the (Default) value of the registry key
HKEY_LOCAL_MACHINE\Software\Classes\jpegfile\shell\open\command
to
extrk.exe %1
For the variant that appends to TXT files
Textrk.exe is then configured to open all TXT files by changing the (Default) value of the registry key
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
to
textrk.exe %1

http://securityresponse.symantec.co...w32.perrun.html

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

12.02.2003 - 18:44

tut mir leid das so ausdrücken zu müssen: aber das ist unprofesionelle panikmache. die .jpg enthalten halt irgendeinen junk am ende, aber dadurch läßt sich kein anderer pc infizieren. nur wenn man selbst infiziert ist, und Extrk.exe installiert (bekommen) hat, kann der virus mit dem code aus den .jpg dateien etwas anfangen.

crashman

OC Addicted

Registered: Oct 2001
Location: Vienna
Posts: 891

12.02.2003 - 18:45

seh ich auch so
bin sicher wir werden das gschichtl bald in der futurezone finden

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12133

12.02.2003 - 18:46

Zitat von .deRElict.
Ein jpg-virus wär einer, in dem das jpg durch einen buffer-overflow oder ähnliches code ausführen würde.
das ist nicht der fall -> ergo nicht wichtig oder gefährlich.

agree.

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

12.02.2003 - 18:49

.. und erst die aufmachung des artikels - extra seriös mit dem pinup-girl und der schrift "virus.jpg" drüber.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4444

12.02.2003 - 18:52

@atrox arbeitest du beim orf?

Fuchs

keeping smiling :-)

Registered: Jan 2003
Location: OÖ//Wartberg
Posts: 1534

12.02.2003 - 18:54

habs halt nur kopiert, flamts ned mi, sondern t-online!!

[edit]auf Symantec Security...fällts auch unter die Kategorie Virus :rolleyes:

[/edit]

Bearbeitet von Fuchs am 12.02.2003, 18:56

DKCH

Administrator
...

Registered: Aug 2002
Location: #
Posts: 3298

12.02.2003 - 18:56

t-online ist ja für seine extreme kompetenz in sachen virenbekämpfung bekannt

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

12.02.2003 - 18:58

ich beschwere mich ja über t-online

ich checke aber nicht ganz meine angebliche orf-connection ? :confused:

(vielleicht lieber den thread closen, aus blödsinn wird nur noch mehr blödsinn.)

DKCH

Administrator
...

Registered: Aug 2002
Location: #
Posts: 3298

12.02.2003 - 19:00

Zitat von Fuchs
[edit]auf Symantec Security...fällts auch unter die Kategorie Virus [/edit]

ja, aber nirgends ist die rede von nem jpeg-virus, sondern als "normaler" virus :rolleyes:

edit: mal abgesehen davon, dass er seit juni 2002 bekannt ist...

Fuchs

keeping smiling :-)

Registered: Jan 2003
Location: OÖ//Wartberg
Posts: 1534

12.02.2003 - 19:12

naguat, der thread war ja voll sinnlos, ich wollt ja nur irgendwelchen leuten helfen die solche probs haben OMFG :rolleyes:

@DKCH ich glaub das ist jetzt alles überflüssig was du da schreibst, weil ich nämlich NIRGENDS jpeg-virus stehn hab...

Bearbeitet von Fuchs am 12.02.2003, 19:18

Fuchs keeping smiling :-) Registered: Jan 2003 Location: OÖ//Wartberg Posts: 1534	12.02.2003 - 18:32 Nach langem fragen wer mir wohl zu meinem Problem mit den Werbe-pop-ups wohl helfen könnte hat mich ein Tipp eines Freundes auf die Seite geführt: [quote]Originally Text by http://www.t-online.de t-online-Link Erster "Jpeg"-Virus Neue Qualität der Bedrohung Eine völlig neue und extreme Form der Bedrohung steht den Internet-Nutzern bevor: Der Virus "W32/Perrun" versteckt sich in Bilddateien im beliebten ".jpg"-Format . Der größte Teil der Bilder im Internet ist als ".jpg" gespeichert und auch Digitalkameras nutzen überwiegend diese Form der Komprimierung, die von der "Joint Photographic Experts Group" standardisiert wurde . Letzte Sicherheit verloren Bislang konnten Viren nur in ausführbaren Dateiformaten wie ".exe" oder ".vbs" versteckt werden. Reine Daten-Dateien galten als sicher, denn Viren konnten solche Dateien nur beschädigen oder zerstören. Code in Bilddatei Mit "Perrun" geht diese Sicherheit verloren, da der Schädling Programm-Code in Bilddateien einfügen kann. So lässt sich der Virus als eMail-Anhang, über Internet-Seiten oder über Tauschbörsen problemlos verbreiten. Helfer benötigt Derzeit benötigt der Virus noch die Hilfe der kleinen Datei "PROOF.EXE". Wird diese ausgeführt, installiert sich ein Programm namens "EXTRK.EXE" auf dem befallenen PC und trägt sich selbsttätig in die Windows-Registrierdatenbank ein. Bilder werden normal angezeigt Die "EXTRK.EXE" sucht auf der Festplatte nach Jpeg-Dateien, und infiziert diese, sobald die Bilddatei geöffnet wird. Besonders heimtückisch ist der Umstand, dass der Nutzer davon nichts mitbekommt, die Bilder werden völlig normal angezeigt. Einziges Erkennungsmerkmal ist eine Veränderung der Dateigröße. Die betroffenen Bilddateien sind nach der Infektion rund zwölf Kilobyte größer - nur wer merkt sich schon die genaue Bildgröße der Bilder in seinem Fotoarchiv. Die gute Nachricht In der ersten Version richtet der Virus keinen Schaden auf den befallenen PCs an und ist auf die Ausführung der "PROOF.EXE" angewiesen. Allerdings ist zu befürchten, dass sich jetzt die Virenprogrammierer-Szene angespornt fühlt, eine Version zu entwickeln, die sich selbsttätig verbreiten kann. Durch die Kombination mit eher harmlosen, aber sich schnell verbreitenden Viren ( wie z.B. "Klez") könnten die zum Ausführen der Schadroutine benötigten ".exe"-Dateien ebenfalls auf den Rechner des Nutzers gelangen. So würde eine schwer beherrschbare Viren-Mixtur enstehen. Außerdem ist auch eine Übertragung des Funktionsprinzips auf andere Dateiformate wie Z.B. ".txt" oder ".mp3" denkbar. Dann ist es nur noch eine Frage der Zeit, bis die ersten Varianten auftauchen, die ernsthaften Schaden an den befallenen Systemen anrichten Schlimmster Virus aller Zeiten Ein massives Problem stellt immer noch der "Klez"-Wurm dar, der sich ständig weiter versendet und dabei auch noch mit gefälschten Absender-Adressen arbeitet. Fußballfans im Visier Die Weltmeisterschaft in Korea und Japan begeistert weltweit die Sportfans. Doch durch die Zeitverschiebung müssen in Europa die meisten Menschen arbeiten, wenn die Spiele ausgetragen werden. Die aktuellen Spielstände sind daher heiß begehrt. So wundert es nicht weiter, dass viele Nutzer auf eine Mail hereinfallen, die ein Tool zur kostenlosen Abfrage der Ergebnisse verspricht. Shakira verbreitet sich rasant Erst kürzlich wurde ein Virus in Umlauf gesetzt, der heiße Fotos des Popstars Shakira verspricht. Virenscanner aktualisieren Informationen über entsprechende Updates, die aktuelle Viren erkennen und entfernen, finden sich auf den Homepages der Hersteller von Virenschutz-Programmen. Mehr Sicherheit und Komfort Alternativ bietet das neue Komfortpaket von T-Online mit der Virenschutz-Software "Antivirus" eine attraktive Lösung zum Schutz vor Viren-Angriffen. Praktisch: Sobald eine Internet-Verbindung besteht, werden die neuesten Virendefinitionen automatisch heruntergeladen. [/quote]
Guest Deleted User Registered: n/a Location: Posts: n/a	12.02.2003 - 18:36 Ein jpg-virus wär einer, in dem das jpg durch einen buffer-overflow oder ähnliches code ausführen würde. das ist nicht der fall -> ergo nicht wichtig oder gefährlich.
crashman OC Addicted Registered: Oct 2001 Location: Vienna Posts: 891	12.02.2003 - 18:37 sehr suspekt wenn ich das richtig verstehe bekommst du eine infizierte jpg datei auf deinen rechner die aber erst schaden anrichtet wenn die zug. exe auch da ist ? Wo liegt da der sinn ? Kann man ja gleich nur die exe "verschicken" ???
DKCH Administrator ... Registered: Aug 2002 Location: # Posts: 3298	12.02.2003 - 18:40 fällt imho eher in die kategorie "panikmache" Zitat If a .jpg or .txt file that has been altered by W32.Perrun is opened on another, uninfected computer, it will not execute malicious actions on that computer because the virus requires the presence of the Extrk.exe or Textrk.exe file for it to execute and append its malicious content to other files. Upon execution of the viral executable which is detected as W32.Perrun.dr, the virus does the following: It drops the files: Reg.mp3. This is a registry file that the virus uses to modify the registry. Extrk.exe or Textrk.exe. This is the executable that will be configured in the registry to open all JPEG or TXT files. Depending upon which variant of W32.Perrun, the virus will perform one of the following actions: For the variant that appends to JPEG files Extrk.exe is then configured to open all JPEG files by changing the (Default) value of the registry key HKEY_LOCAL_MACHINE\Software\Classes\jpegfile\shell\open\command to extrk.exe %1 For the variant that appends to TXT files Textrk.exe is then configured to open all TXT files by changing the (Default) value of the registry key HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command to textrk.exe %1 http://securityresponse.symantec.co...w32.perrun.html
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	12.02.2003 - 18:44 tut mir leid das so ausdrücken zu müssen: aber das ist unprofesionelle panikmache. die .jpg enthalten halt irgendeinen junk am ende, aber dadurch läßt sich kein anderer pc infizieren. nur wenn man selbst infiziert ist, und Extrk.exe installiert (bekommen) hat, kann der virus mit dem code aus den .jpg dateien etwas anfangen.
crashman OC Addicted Registered: Oct 2001 Location: Vienna Posts: 891	12.02.2003 - 18:45 seh ich auch so bin sicher wir werden das gschichtl bald in der futurezone finden
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12133	12.02.2003 - 18:46 Zitat von .deRElict. Ein jpg-virus wär einer, in dem das jpg durch einen buffer-overflow oder ähnliches code ausführen würde. das ist nicht der fall -> ergo nicht wichtig oder gefährlich. agree.
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	12.02.2003 - 18:49 .. und erst die aufmachung des artikels - extra seriös mit dem pinup-girl und der schrift "virus.jpg" drüber.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4444	12.02.2003 - 18:52 @atrox arbeitest du beim orf?
Fuchs keeping smiling :-) Registered: Jan 2003 Location: OÖ//Wartberg Posts: 1534	12.02.2003 - 18:54 habs halt nur kopiert, flamts ned mi, sondern t-online!! [edit]auf Symantec Security...fällts auch unter die Kategorie Virus [/edit] Bearbeitet von Fuchs am 12.02.2003, 18:56
DKCH Administrator ... Registered: Aug 2002 Location: # Posts: 3298	12.02.2003 - 18:56 t-online ist ja für seine extreme kompetenz in sachen virenbekämpfung bekannt
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	12.02.2003 - 18:58 ich beschwere mich ja über t-online ich checke aber nicht ganz meine angebliche orf-connection ? (vielleicht lieber den thread closen, aus blödsinn wird nur noch mehr blödsinn.)
DKCH Administrator ... Registered: Aug 2002 Location: # Posts: 3298	12.02.2003 - 19:00 Zitat von Fuchs [edit]auf Symantec Security...fällts auch unter die Kategorie Virus [/edit] ja, aber nirgends ist die rede von nem jpeg-virus, sondern als "normaler" virus edit: mal abgesehen davon, dass er seit juni 2002 bekannt ist...
Fuchs keeping smiling :-) Registered: Jan 2003 Location: OÖ//Wartberg Posts: 1534	12.02.2003 - 19:12 naguat, der thread war ja voll sinnlos, ich wollt ja nur irgendwelchen leuten helfen die solche probs haben OMFG @DKCH ich glaub das ist jetzt alles überflüssig was du da schreibst, weil ich nämlich NIRGENDS jpeg-virus stehn hab... Bearbeitet von Fuchs am 12.02.2003, 19:18

OMFG new Virus@jpg

Forum Index > Software > Applications, Apps & Drivers

Fuchs

Guest

crashman

DKCH

atrox

crashman

COLOSSUS

atrox

erlgrey

Fuchs

DKCH

atrox

DKCH

Fuchs