Jpg - Vieren

Hiho,

ich muss eine neue Mail-Policy aufstellen und unteranderem soll da die JPGViren mit aufgenommen werden. Ich weiß bisher nur, dass wohl ab JPG Version 5 möglich ist, sich diese Dinger einzufangen.

Abere wie geschieht des nu genau? Was passiert da? Was können diese Vieren anrichten?


Vielleicht habt ihr da schon mehr von gehört und könnt mir bischen helfen.


Thx schon mal im vorraus.

Gehört habe ich davon nicht viel, nur soviel: Es funktioniert.

Diese Bilder nutzen einen Speicherüberlauf, um die Schadfunktionen in einen Bereich zu schreiben, der dann ausgeführt wird. Dass das Bild aber irgendwie angezeigt werden kann, bezweifle ich aber.

also ich hab gelesen, dass das bild trotzdem angezeigt wird und anscheinend schon bei der anzeige in Outlook (Express),d er Bildvorschau oder im IE schaden verursachen kann, bin mir aber nicht ganz sicher...
Wäre fraglich, ob die Viren nicht auch funktionieren wenn das bild in anderen Browsern angezeigt wird.
@ChaozKrieger:
Wenn du mehr weißt poste das mal hier, das Thema interessiert mich auch....

MfG

daHool

Ich denke das funktioniert alles über den sog. "JPEG-Bug".

Erstelle mal einen Ordner namens auto.jpg
Dort hinein eine index.php mit beliebigen Inhalt, wobei du dann noch am ende eine Bildausgabe machen musst, vie JPEG-Mimetype.

Das ganze ist extrem easy und keiner merkt irgendwas.

Ich benutz das immer als automatische Header-Bild-Change für z.B. Foren etc.
Kann man recht interessante Sachen mit machen.

ja mache ich sobald ich ich weiß wie des genau funktioniert....

Zitat:

Original von ChaozKrieger ja mache ich sobald ich ich weiß wie des genau funktioniert....

Habe ich grade geschrieben...

ja schon....

aber mein cheffe wills noch detailierter haben.

Und dadrauf hatte ich es bezogen nur vergessen es mit zu posten

Ich will das ich ein Beispiel aufzeige wo sowas schon mal aufgetreten ist und was man dagegen machen kann.

Javascript und VBS deaktivieren.. Sonst fällt mir nix ein ...

Also das Thema interessiert mich ebenfalls brennend.
Ich weiß zwar keine genauen Details aber habe mich ebenfalls informiert und kann einge Dinge schonmal klären:

Funktioniert ein infiziertes JPEG wirklich?
Antwort: Ja. Allerdings seit einiger Zeit durch einige Windows-Updates wahrscheinlich nicht mehr.

Was kann es anrichten?
Antwort: Es ist eigentlich alles möglich. Man kann sogar ganze Trojaner-Codes einbauen.

Wie funktioniert es?
Antwort: In dem Bild ist zusätzlich der auszuführende Code injecziert. Es wird ein Buffer-Overrrun(speicherüberlauf) erzeugt und der injeczierte Code ausgeführt.

Wo funktioniert es?
Antwort: Soweit mir bekannt ist nur bei Windows. Dafür aber Überall in Windows. Das bloße Anzeigen des Bildes auf einer Internetseite reicht schon aus. Sogar die bloße Vorschau in einem Ordner oder in Outlook. Das liegt daran, dass die meißten JPEG-Exploits einen Bug in der Datei "gdiplus.dll" ausnutzen. Diese Datei erledigt die Anzeige von Jpeg-Bildern zentral für alle Windows- Anwendungen. Das heißt es Funktioniert praktisch überall.

Kann man auch in andere Medien-Formate sowas einbringen?
Antwort: Theoretisch Ja. In jedes komprimiertes Medienformat. Also auch mpeg und mp3. Sogar in nichtkomprimierten Bitmap-Bildern ist es schon vorgekommen (allerdings funktionierten die angeblich nur auf russischen Windows-Versionen).

Falls ihr euch ein genaueres Bild machen wollt (z.B. wegen dem Chef) dann sucht euch doch einfach mal ein paar JPEG-Exploits bei milw0rm.com raus.

//EDIT: z.B. JpegOfDeath http://www.milw0rm.com/exploits/556

//EDIT: oder das: http://www.milw0rm.com/exploits/474



mfg. FRY82

Jpg-viren funktionieren wahrscheinlich wie fast jeder trojaner etc. über nen buffer-overflow...


und DAS:


nennen wir hier leichenfledderei

öhm, sry aber ich weiß nicht, was du mit leichenflederei meinst. Und auf was du mit "09.02.2005 19:26" hinweisen willst schongarnicht. Wäre nett, wenn du mich aufklären würdest.

//EDIT: SRY! hab gerade gecheckt, was du meinst^^ sorry, hatte irgendwie übersehen, dass der Thread schon so alt ist. xD



mfg. FRY82