Aladdin identificeert potentieel JPEG-megavirus
IJsselstein, 15 november 2004 - Aladdin Knowledge Systems (Nasdaq: ALDN), leverancier van beveiligingsoplossingen voor software en internet content, heeft een potentieel megavirus ontdekt dat verspreid kan worden door het verzenden van JPEG-bestanden. De content security specialisten van Aladdin zien drie scenario's die beschrijven hoe de wereldwijde verspreiding van het virus kan plaatsvinden.
Ten eerste kunnen geïnfecteerde bestanden meegestuurd worden als e-mail-attachement. Omdat desktop antivirusscanners voor de identificatie gericht zijn op file extensies en MIME scripts worden geïnfecteerde JPEG-bijlagen niet altijd geïdentificeerd. Daarnaast kan het virus ook verspreid worden door afbeeldingen op webpagina's. De meeste beveiligingstoepassingen inspecteren namelijk geen JPEG-bestanden in HTTP en FTP. Links naar geïnfecteerde webpagina's kunnen zich ook verspreiden via wormen in onder meer e-mail en instant messenger.
Het laatste scenario betreft een e-mail met een link naar een afbeelding. Hierbij stuurt een spammer een e-mail met een HTML-link naar het geïnfecteerde JPEG-bestand. Het bestand bevindt zich op de server en wordt automatisch gedownload via HTTP als de e-mail wordt geopend of bekeken. Zodra de afbeelding wordt bekeken in Outlook of Outlook Express, wordt de code geactiveerd.
"Uitgaande van deze scenario's kan geconcludeerd worden dat een bedreigend mega-wormvirus snel kan worden verwacht. Deze aanval kan wereldwijd nog meer schade veroorzaken dan voorgaande ernstige virussen al gedaan hebben", aldus Shimon Gruper, vice president technologies bij de Aladdin eSafe Business Unit.
De geïnfecteerde afbeeldingen hoeven zich niet alleen te bevinden op speciaal daarvoor opgezette webservers. Ze kunnen ook aanwezig zijn op eerder besmette computers die zich als webservers gedragen. Dit is vergelijkbaar met Nimda en andere wormen die Microsoft IIS webservers infecteerden.
Actiepunten voor het tegengaan van deze dreiging
Om de kans op het virus te verkleinen beveelt Aladdin de volgende actiepunten aan:
- Vertrouw niet op SMTP of interne mail server content inspectie;
- gebruik een poorttoepassing die naast SMTP ook HTTP en FTP inspecteert;
- om spoofing te voorkomen moet de identificatie van JPEG-bestanden niet gebaseerd zijn op extensies of content type;
- JPEG-bestanden moeten al tijdens het downloaden geïnspecteerd worden en niet pas wanneer het gehele bestand is binnengehaald;
- alle onderdelen van het JPEG-bestand moeten volledig geïnspecteerd worden voordat zij vrijgegeven worden aan de gebruiker
- de poorttoepassing moet geen vertragingen en time-outs vertonen als verborgen JPEG-bestanden worden bezorgd of nieuwe afbeeldingen worden gedownload;
- voor hosted websites die file uploads toestaan; inspecteer alle geuploade JPEG-bestanden.
Over Aladdin
Aladdin Knowledge Systems (Nasdaq: ALDN), gevestigd in Tel Aviv (Israël), houdt zich als internationaal marktleider op het gebied van internet- en softwarebeveiliging bezig met oplossingen voor een veilig gebruik en veilige distributie van digitale content: van applicatiesoftware tot en met internetgebruik en -toegang. Aladdins klanten zijn software-vendors en organisaties die hun medewerkers een veilige toegang tot het internet bieden, inclusief bescherming van de eigen bedrijfsinformatie en -productiviteit. Meer informatie is te vinden op Aladdins website www.eAladdin.com of via de Benelux-vestiging van Aladdin in IJsselstein.