Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano02/0206b005.htm
Última modificação em (mês/dia/ano/horário): 06/16/02 11:45:46		 Clique na imagem para ir ao índice de Notícias 2002

NOTÍCIAS 2002

Surge o primeiro vírus que infecta imagens JPG

Foi descoberto em 13/6/2002 o primeiro vírus com a capacidade de contaminar imagens digitais. Considerado inicialmente como de baixa periculosidade, o vírus W32/Perrun pode originar entretanto uma nova classe de epidemias, aproveitando o hábito dos internautas trocarem fotos e imagens no padrão de compressão JPG/JPEG pela rede mundial de computadores. Antivírus como o Scan na atualização 4.1.50 já identificam o vírus, e a empresa lançará vacina específica em 19/6/2002.

Segundo página específica sobre o W32/Perrun disponível no site da produtora estadunidense de antivírus McAfee, a origem do vírus é desconhecida, sendo do tipo multicomponente, pois requer um arquivo extrator para extrair e executar o código malicioso de dentro dos arquivos de imagem JPEG. Estes arquivos de imagem, em si, são incapazes de se replicar em máquinas não infectadas, isto é, que não possuam o componente extrator do código instalado (através de uma chave inserida no Registro do Windows).

Os sintomas da contaminação pelo W32/Perrun são a modificação no registro do sistema e o aumento de 11.780 bytes no tamanho dos arquivos de imagem JPEG. O vírus chega na forma de um arquivo de 11.780 bytes que, ao rodar na máquina vitimada, copia o componente extrator (EXTRK.EXE) para o diretório corrente. Ambos os arquivos são escritos em Visual Basic 6 e empacotados com UPX. A seguinte chave é inserida no Registro do Windows:

                       HKEY_CLASSES_ROOT\jpegfile\shell\open\command
                       "(Default)" = (current directory)\EXTRK.EXE %1

A partir daí, quando arquivos JPEG são executados, o componente extrator verifica se o arquivo está infectado. Em caso positivo, o corpo do vírus é extraído e executado. Somente arquivos JPEG no diretório corrente são infectados, e só um arquivo é infectado por ciclo. O extrator então se encarrega de mostrar a imagem JPEG usando um componente tipo biblioteca de ligação dinâmica (DLL).

Segundo a McAfee, seus produtos a partir da versão 4185 de DAT, com varredura heurística habilitada, conseguem detectar tanto o corpo do vírus como o componente extrator, apresentando-o como vírus ou variante W32/Alcop@MM.