Иди и смотри

Судный день для всей Сети: не прошло и недели с момента публикации программы-примера по использованию JPEG-уязвимости в системах MS Windows, а вирусы, прячущиеся в файлах формата JPEG, уже на свободе! Первыми жертвами стали читатели порноконференций USENET.

Тема опасной уязвимости в системных библиотеках операционных систем семейства Microsoft Windows - в библиотеках, содержащих функции для обработки изображений различных форматов и, в их числе, формата JPEG, так вот, в последний раз тема эта поднималась на страницах "КТ-онлайн" в пятницу, в этой колонке и в комментарии, данном "КТ" специалистами "Лаборатории Касперского". Напомню, к тому моменту сбылись первые опасения экспертов по компьютерной безопасности: французской хакерской группой K-OTIK был написан и опубликован в Сети действующий пример эксплуатации "JPEG-ошибки". Развитие ситуации настоятельно требует вернуться к теме, ибо к настоящему моменту подтвердились самые мрачные предположения. Страшный сон рядовых юзеров и пессимистический прогноз специалистов сбылись: вирусы, паразитирующие на некорректной работе MS Windows и многих программных продуктов с форматом JPEG, написаны и выпущены на свободу.

Первой об обнаружении фильтрующими программами потенциально опасного кода в JPEG-файлах сообщила в выходные компания ScanSafe, но эта история, к счастью, продолжения не получила. А вот провайдер EasyNews оповестил вчера уже об отлове в JPEG-файлах настоящего вируса, пока ещё неспособного самостоятельно распространяться, но уже умеющего инсталлировать на компьютер жертвы клиент удалённого управления. Что представляет собой JPEG-вирус? Это файл размером менее 10 килобайт с расширением .jpg, распространяемый (чего и следовало ожидать) в USENET-конференциях, посвящённых эротике и порнографии. Попытка открыть файл любым приложением оканчивается одинаково неудачно: структура файла основана на формате JPEG, но некорректна. Именно эта неправильность и приводит к переполнению системного буфера при использовании для открытия файла библиотеки gdiplus.dll (и, вероятно, некоторых других, содержащих те же функции - об этом расскажу далее), содержащейся, в частности, в Windows XP. В результате ошибки код, составляющий файл изображения, выполняется - и вирус стартует. Он соединяется с неким FTP-сервером, скачивает с него пару мегабайт инсталляционных файлов и ставит на инфицированный компьютер всем известный RAdmin, открывая таким образом "чёрный ход". Возможно, выполняются ещё какие-то действия: это станет известно, после того как анализ тела вируса проведут антивирусные компании.

Заразиться JPEG-вирусом можно, просмотрев содержащий его файл с помощью Internet Explorer, получив соответствующее "изображение" в Outlook, открыв содержащий его документ MS Word (в самом Word, конечно) и ещё добрым десятком способов с использованием программных продуктов Microsoft. Однако, насколько известно к настоящему моменту, ваша система может оказаться уязвимой и в результате инсталляции программ, разработанных другими компаниями и лицами. "Радостную" эту весть донёс до общественности хакер Том Листон, опубликовавший на сайте Internet Storm Center (ISC - известная американская организация, специализирующаяся на мониторинге интернет-катаклизмов) открытое письмо, адресованное Microsoft. Листон сам по себе личность легендарная: ему, в частности, принадлежит авторство некогда уникального инструмента для активного подавления вирусных эпидемий LaBrea Tarpit (кратко о нём можно прочесть в моей заметке в "КТ" трёхлетней давности, см. КТ #414). В своём письме Том обвиняет софтверного гиганта в сокрытии информации и непростительной вялости. Листон достаточно резок ("Перестаньте считать нас идиотами, поделитесь действительно полезной информацией!"), но с ним трудно не согласиться: Microsoft не сообщает, какие библиотеки содержат уязвимость, она не сообщает, какие сторонние разработчики и в каких продуктах распространяют уязвимые библиотеки, её утилита для сканирования системы на предмет выявления уязвимых компонент не выполняет своей задачи.

Вместе с письмом Том опубликовал (там же, на сайте ISC) свою утилиту, аналогичную по назначению утилите от Microsoft. gdiscan, написанная Листоном, позволяет точно идентифицировать все потенциально уязвимые компоненты в системе, вне зависимости от того, распространялись ли они с продуктами Microsoft, или с продуктами других разработчиков. "Весит" она всего семь килобайт, поэтому если вы работаете с MS Windows, не медлите - качайте и сканируйте свою машину. Завтра может быть уже поздно!

P.S. Минутный скан с помощью gdiscan на машине моей подруги (Windows 98, MS Word 2000 и т.п.) выявил два уязвимых компонента. Согласно официальному списку Microsoft такая конфигурация считается JPEG-ошибке не подверженной. Сюрприз, однако!