Proof-of-Concept: Erster JPEG-Virus

Als Proof-of-Concept ist der Virus W32/Perrun zu verstehen. Laut Antivirenspezialist McAfee ist Perrun der erste Schädling, der JPEGs infizieren kann. Der Autor hat den Virus direkt an McAfee geschickt, Perrun ist aber nicht im Umlauf.

Befürchtungen, dass JPEGs als Mailanhänge den Rechner infizieren, sind laut McAfee erst einmal unbegründet. Um zu funktionieren, braucht der Proof-of-Concept-Virus quasi zur Vorbereitung eine EXE-Datei, mittels der er Einträge in die Registry vornimmt. Die EXE-Datei landet in Form eines PE-Files (UPX gepackt) auf dem Rechner, teilte McAfee mit.

Nur auf derart infizierten Rechnern greift das Konzept der verseuchten JPEGs. Der von McAfee "Extractor" benannte Teil des Virus prüft anschließend bei jedem JPEG, das geöffnet wird, ob es mit Code verseucht ist. Ist das der Fall, führt der Extractor den Code im JPEG aus.

Die Schadensladung ist moderat konzipiert. Jeweils ein weiteres JPEG im gleichen Verzeichnis - so vorhanden - bekommt den Code eingeimpft und wächst dabei um 11.780 Byte an. Der "Virus-Extractor" versucht dann, das JPEG mittels System-DLL wie vom Benutzer gewünscht anzuzeigen.

Letztlich unterscheidet sich das Konzept von W32/Perrun bei der Infektion nicht von anderen Schädlingen, da der Benutzer eine Datei ausführen muss. Hat diese Extractor-Datei sich aber einmal ins System eingeschlichen, reicht ein "harmloses" JPEG, um weiteren Schaden anzurichten.

Zusätzliche Informationen bieten die Virengrundlagen, der Report Sicher im Web unterwegs und der Virenscanner-Test. (uba)