Небезпечні картинки

Якщо Ви отримали поштове вкладення, будьте напоготові. Не відкривайте файли, які виглядають підозріло! Завдяки публічному обговоренню проблем інформаційної безпеки користувачі, схоже, засвоїли ці нехитрі правила захисту від вірусів.

І все ж сугуба обережність не завадить, оскільки деякі з прописних істин, які свідчать, наприклад, що вірус завжди є виконуючим файлом або, що графічні і текстові файли нешкідливі за своєю природою, не цілком вірні.

Нещодавно відкрита вразливість при роботі низки програм для перегляду малюнків змусила згадати про те, що хакери в стані впровадити шкідливий код навіть у файли JPEG! Втім, піддаватися паніці не варто: поки атаки, викликані файлами даного типу, нечисленні. Але і з урахуванням цього пильність втрачати не можна.

Наведемо кілька прикладів атак, пов'язаних з JPEG-файлами, і поговоримо про запобіжні заходи щодо них.

Perrun

Про вірус Perrun, який з'явився в 2002 р., писали чимало. При всій своїй нешкідливості він залишається першим прикладом вірусного коду, здатного вражати JPEG-файли.

Як і подібні до нього, Perrun приховує вірусний код в зовнішньо нешкідливому файлі, в даному випадку в малюнках JPEG. Але, на відміну від інших, Perrun не може самостійно запускатися або, розсилати численні копії іншим одержувачам.

Для витягання і виконання вірусного коду, захованого в JPEG-файл, потрібно «троянський» компонент. Поява Perrun довела: файли зображень теж можуть бути атаковані.

Після цього «вірусописьменники» пішли далі і стали розробляти комбінації «JPEG + троян», що може призвести до створення куди більш небезпечних вірусів.

Не JPEG, а вірус!

Хакери нерідко користуються тим, що файли JPEG виглядають нешкідливо і широко поширені. По Інтернету гуляють заражені повідомлення, що пропонують помилуватися на Дженніфер Лопес або, поглянути на знімки футбольного матчу.

Чимало ні про що не непідозрюючі користувачі вже попалися в цю пастку. Виявляється, шкідливий код ховається в помилковому JPEG-файлі. Інфікований файл виглядає як графічний, але в дійсності має подвійне розширення і являє собою виконуваний код.

Не так давно схожий спосіб заманювання жертви був застосований в «черв'яках» Bropia.F і Bobax.H. У файлі Bropia на перший погляд містилися еротичні фотографії, а Bobax обіцяв фото мертвого Саддама Хуссейна, але ті інтернет-користувачі, які повірили, що відкривають файли зображень, заразили свої комп'ютери.

Щоб уникнути цієї пастки, рекомендується за допомогою своєчасно оновлюваною антивірусної програми перевіряти перед відкриттям кожен вкладений файл.

У файлі JPEG може ховатися троян

У вересні 2004 р. на деяких інтернет-форумах в достатку з'явилися порнографічні фотографії-пастки: спроба відкрити або переглянути зображення загрожувала користувачеві «троянською» атакою.

Механізм пастки грунтувався на одній помилці в програмному забезпеченні Microsoft, призначеному для перегляду зображень. Зауважимо, до речі, що ця помилка була усунена в той же день, коли з'явився вірус.

Але, як завжди, велика частина користувачів не оновила вчасно програмне забезпечення і, отже, потрапила до «групи ризику». Інші фотографії-пастки з грудастими красунями розсилалися через службу миттєвих повідомлень AOL.

Яким же чином перегляд зображення може спровокувати вірусну інфекцію? Справа в тому, що вірус ефективно використовував вразливість графічного інтерфейсу пристроїв (Microsoft Graphics Device Interface Plus, GDI +). В розділ приміток програми хакери помістили код, що викликає переповнення буфера пам'яті. Це в свою чергу призводило до проникнення троянів.

Щоб захистити користувачів Інтернету від подібних загроз, компанія Symantec пропонує в складі свого антивірусного пакету службову програму, що перевіряє достовірність зображень JPEG.

Winamp - жертва «скінів»

На закінчення згадаємо ще приклад вірусного коду, захованого в графічних файлах , що використовує помилку в програвачі Winamp.

Так звані «скіни» (файли, за допомогою яких змінюється зовнішній вигляд програмного забезпечення) для цього програвача насправді можуть служити засобом передачі вірусної інфекції.

Дана помилка була усунена в серпні 2004 р., але сам факт ще раз нагадав про вразливість таких, здавалося б, нешкідливих файлів, як файли зображень.