Появился первый вирус, эксплуатирующий уязвимость при обработке jpeg изображений
 

Появился первый вирус, эксплуатирующий уязвимость при обработке jpeg изображений
Провайдер EasyNews зафиксировал появление в интернете первой вредоносной программы, использующей дыру в модуле обработки графических файлов формата JPEG, входящем в состав различных продуктов Microsoft, сообщает compulenta.ru.
Первый эксплойт для JPEG-дыры был обнаружен на прошлой неделе. Правда, вредоносный код носил чисто демонстрационный характер и мог спровоцировать лишь зависание компьютера в результате ошибки переполнения буфера. Позднее стало известно о появлении еще одного, намного более опасного эксплойта, способного запускать командную строку Windows. Тогда же эксперты по вопросам сетевой безопасности сделали предположение, что эра JPEG-вирусов уже не за горами. Как теперь выяснилось, опасения специалистов были не напрасными.

По информации EasyNews, обнаруженный вредоносный код представляет собой JPEG-файл размером около 10 кб, распространяемый в USENET-конференциях. При попытке просмотра этого файла любым из уязвимых приложений возникает ошибка переполнения буфера, после чего вирус соединяется с неким FTP-сервером и загружает с него утилиту удаленного управления RAdmin. Таким образом, злоумышленники теоретически могут получить несанкционированный доступ к пораженной машине. Вполне вероятно, вредоносная программа выполняет и какие-то другие действия, однако это станет известно только после детального анализа кода вируса.
_http://www.securitylab.ru/48281.html

Странно, есть и другая информация: www.crime-research.org/library/Gorb4.htm

с появлением 64-битных процев такая проблема отпадет навсегда, там будет 2 блока обработки данных, один для данных, другой для исполняемого кода... помойму так...

Naschet 64bitnih procow i "code execution".

1. Eta tehnologija bila izwestna eshe desyatki let nazad - starie UNIX mashini ispolzujut etot princip, no, prawda, osnownaya cel ispolzowaniya etoi tehnlogii bila drugaya.

2. Wwesti w stroi etu tehnlogiju dlya wsego softa ispolzuemogo pod Windowsom konechno mojno, no koe-kakie softinki poka ne gotowi k etomu, w osnownom eto soft trebujushij glubokoi sistemnoi integracii, kak to: antivirusi (demoni monitoringa), razlichnie system hookeri i.t.d.

3. Exploiting w tom wide w kotorom on dostupen seichas ne smojet bit ispolzowan, no ne nado zabiwat o tom, chto arbitrajnaya zadacha po zapusku nesignificirowannogo koda na udalennoi mashine ne mojet bit wipolnena i drugimi metodami, kak naprimer wwod koda s pomoshju udalennoi mashini w segment dannih i peredacha vektora uprawleniya s pomoshju logicheskih oshibok w lokalnom softe (smotri exploiting windowsa s pomoshju peredachi wektora uprawleniya s pomoshju WM_TIMER).

JPEG вирус начал распостранятся через AOL
Вирус, использующий недавно найденную в программных продуктах Microsoft уязвимость при обработке графических файлов формата JPEG, распространяется через службу обмена мгновенными сообщениями AOL.
По словам экспертов института SANS (SysAdmin Audit Network Security), вирус еще не успел широко распространиться - институт располагает пока лишь двумя сообщениями о заражении.

Вирус действует следующим образом: жертва получает сообщение через IM-службу AOL, которое перенаправляет ее на веб-сайт с инфицированными файлами изображений в формате JPEG. Сообщение выглядит следующим образом: "Check out my profile, click GET INFO!". Когда пользователь кликает на ссылку, на его компьютере автоматически запускается вредоносный код, содержащийся в инфицированной картинке. Далее зараженный компьютер автоматически рассылает то же сообщение по всему контакт-листу IM-службы AOL.

Вредоносный код содержит также черный ход (backdoor) - утилиту удаленного администрирования, позволяющую злоумышленнику перехватить управление зараженным компьютером. // km

_http://www.securitylab.ru/48361.html