Web

Virus befällt erstmals Bilddateien

14.06.2002

MÜNCHEN (COMPUTERWOCHE) - "W32Perrun" heißt der erste Virus, der JPEG-Dateien infiziert. Den Antivirenexperten von McAfee zufolge gibt es den Schädling zurzeit nur in Labors, da ihn sein Schöpfer direkt an die Forscher geschickt und nicht freigesetzt hat. Der so genannte "Proof-of-Concept"-Virus zeige jedoch auf, was technisch machbar ist. Anwender und Antiviren-Entwickler müssen sich demzufolge darauf einrichten, dass Virenprogrammierer in Zukunft auch bislang unverdächtige Dateiformate aufs Korn nehmen.

Allerdings kann eine infizierte JPG-Datei alleine keinen Schaden anrichten, da sie keinen Programmcode ausführt. So ist auch Perrun auf althergebrachte Übertragungsmechanisman angewiesen und verbreitet sich über eine ausführbare Datei im EXE-Format. Diese installiert ein Extractor genanntes Programm auf dem Rechner und manipuliert die Registrierdatenbank von Windows, so dass an alle JPGs eine rund 12 Kilobyte große Schadroutine angehängt wird. Nur wenn ein so geimpftes Bild auf einen Rechner kommt, auf dem ebenfalls ein Extractor aktiv ist, werden weitere Grafikdateien infiziert. Auf PCs ohne Extractor passiert nichts, auch die Bildinhalte der JPGs werden nicht zerstört. Der Schaden begrenzt sich demnach auf die Verschwendung von Festplattenplatz durch die geänderten Dateigrößen. Außerdem brauchen Antivirenprogramme Systemressourcen, um die Schädlinge zu finden und infizierte Dateien zu säubern.

Experten zufolge könnten Virenschreiber in Zukunft unverdächtige Grafiken oder MP3s als Transportvehikel für weitaus gefährlichere Schadroutinen nutzen. Lediglich für den Extractor müssten sie auf herkömmliche Verbreitungsmechanismen zurückgreifen. (lex)