News 08.07.2002, 16:00 Uhr

W32.Perrun («JPG-Virus»)

Zwar soll W32.Perrun ein neues Virenkonzept sein, ist aber bislang nicht in freier Wildbahn aufgetaucht. Er kann sich an JPG-Dateien heften, kann seinen Code aber nur ausführen, wenn der PC bereits infiziert ist.
Vermutlich hat der Virenschreiber diesen Virus als "Proof of concept" gedacht, also als eine Art Machbarkeitsbeweis. In diesem Sinne "machbar" ist das Anstecken von JPEG-Bildern (mit Endung JPG oder JPEG). Trotzdem brauchen Benutzer, die eine infizierte JPG-Datei erhalten, (noch!) keine Angst zu haben: Der Programmcode, den dieser erste JPG-Schädling in die besagten Bilddateien pflanzt, kann nur auf Rechnern ausgeführt werden, die bereits damit infiziert sind.
Der Grund für diese Einschränkung: Damit der in eine JPG-Datei implantierte Code überhaupt gestartet werden kann, muss dieser von einem speziellen Hilfsprogramm (einem so genannten "Extractor") ausgelesen werden. Das bedeutet, dass sowohl dieser Extractor (in Form einer EXE-Datei) bereits auf der Festplatte vorhanden sein muss, als auch ein Registry-Eintrag, der den Extractor beim Aufruf einer JPG-Datei automatisch startet.
Die Virenlabors berichten einhellig, dass das Öffnen einer mit dieser ersten Perrun-Variante infizierten JPG-Datei auf einem nicht-infizierten PC keine (negativen) Auswirkungen hat.
Trotzdem könnte dieser Virus eines Tages als Vorlage für wirklich "funktionierende" JPG-Viren dienen, was dann erstmals die alte und bisher gültige Weisheit "Bilder können keine Viren enthalten" widerlegen würde.
Der Programmcode existiert übrigens auch als EXE-Datei. Wird diese Datei durch den Benutzer oder aufgrund einer Sicherheitslücke gestartet, legt der Virus eine EXE-Datei ab - nämlich den vorhin erwähnten Extractor. Der Dateiname lautet in dieser ersten Variante "extrk.exe". Es wird eine zweite Datei abgelegt, die in Textform den Wert enthält, der in die Registry eingetragen wird. Diese Datei kann eine beliebige Endung haben und heisst im Beispiel, das den Virenlabors zugespielt wurde, offenbar "reg.mp3".
Nun sucht der Virus nach JPG-Dateien und fügt diesen seinen eigenen Programmcode hinzu - d.h. er steckt sie an. Die Bild-Inhalte selber werden dabei nicht tangiert. Werden auf dem infizierten PC später JPG-Dateien geöffnet, wird der implantierte Code vom Extractor in eine EXE-Datei geschrieben und ausgeführt, anschliessend wird das eigentliche Bild angezeigt.
Dieser derzeit bekannte erste JPG-Virus kann sich auch als EXE-Datei noch nicht automatisch weiterverbreiten. Und wie bereits gesagt: Auf einem PC, der diesen Extractor nicht enthält, könnte auch das Öffnen einer infizierten JPG-Datei keinen Schaden anrichten. Und ein bereits befallener PC würde dadurch nicht "noch befallener" und müsste sowieso desinifiziert werden.
Informationen (in Englisch) finden Sie auch bei F-Secure [1] und NAI [2].


Kommentare

Es sind keine Kommentare vorhanden.