Microsoft-hull utnyttes i pornogrupper

Microsoft-hull utnyttes i pornogrupper

Gratis utveksling av pornografiske bilder på nyhetsgrupper blir forsøkt utnyttet til å plante bakdører på brukernes maskiner.

Snaut fjorten dager etter at Microsoft advarte mot sikkerhetsbrist i forhold  jpeg-bilder, blir bilder som forsøker å utnytte svakheten lagt ut i nyhetsgrupper. Sikkerhetshullet befinner seg i jpeg-dekoderen i Windows-modulen GDI+, som benyttes av en rekke programmer.

Modifiserte jpeg-bilder skal være postet til flere nyhetsgrupper for utveksling av bilder, såkalte "binaries". Avsenderen "Power-Poster@Power-post.org" har til "alt.binaries.erotica.breasts" postet jpeg-bilder som forsøker å installere en bakdør som lar uvedkommende ta kontroll over brukerens maskin. Dette ifølge Bugtraq, en kjent diskusjonsgruppe rundt sikkerhet.

Når jpeg-filen åpnes, vil det i gitte tilfelle bli installert en kopi av Radmin, som er et legalt verktøy for fjernstyring av pc-er. I dette tilfelle blir det imidlertid benyttet som bakdør. Infiserte Windows-maskiner vil rapportere tilbake til den som står bak via en kanal i pratetjenesten IRC.

Det ligger ingen spredningsmekanisme inne, slik at det ikke dreier seg om et virus eller en orm. Men sikkerhetsfirmaene frykter at det vil komme.

Johannes Ulrich, som er teknologisjef i Internet Storm Center, sier til IDGs nyhetstjeneste at dette angrepet via jpeg bare fungerer på Windows XP, men ikke på alle XP-maskiner. Han viser til at de vanligste antivirusprogrammene kan finne modifiserte jpeg-filer.

For å beskytte seg er det derfor, som alltid, viktig å ha de siste oppdateringene av Windows og antivirusprogram.