Possível vírus em imagem alerta especialistas

Hackers maliciosos exploram falha em processamento de JPEG pelo Windows

Vivian Rangel

Especial para o JB

O porto seguro das imagens foi invadido pelos programadores de vírus. A semana passada marcou o descobrimento de códigos maliciosos em arquivos JPEG, usados em todas as homepages, câmeras digitais e outros dispositivos, e que até agora se mantinham livres de ameaças eletrônicas.

Além da contaminação ao navegar na internet, links para as imagens infectadas foram espalhados pelo mensageiro instantâneo da America Online, o AIM. Especialistas em segurança alertam que a ameaça deve evoluir, tornando-se mais potente ao explorar a vulnerabilidade no módulo de imagem do Windows, e que não será fácil detectá-la com antivírus tradicionais.

- Embora esse vírus não se replique e seja considerado pouco perigoso, ele é uma prova de conceito que pode se transformar em um worm destrutivo, se for descoberto como o multiplicar de forma autônoma. Nesse caso, o usuário nem precisará baixar os arquivos, bastando visitar páginas com imagens contaminadas na internet - alerta o especialista em Segurança da Symantec, Marco Bicca.

A vulnerabilidade do Windows foi divulgada no dia 14, quando os códigos maliciosos começaram a ser detectados na Rede. A ameaça utiliza um arquivo JPEG modificado para executar comandos que sobrecarregam o módulo GDI do Windows. Ele é responsável pelo processamento das imagens JPEG utilizadas pelo sistema operacional e outros aplicativos como o Internet Explorer e o Outlook.

O problema afeta o Windows XP, Server 2003, Office XP, Office 2003, Internet Explorer 6 Service Pack 1, Project, Visio, Picture It e Digital Image Pro, entre outros. O XP atualizado com o Service Pack 2 está imune à falha. Entretanto, todas as aplicações instaladas têm que ser atualizadas.

Na semana passada, o Easynews, provedor de acesso à Usenet, descobriu o ''JPEG of Death''. A imagem, ao ser visualizada, se conecta a um servidor e instala um software. A Symantec diz que o vírus está sendo atualizado e pode, em breve, gerar filhotes mais destrutivos.

- O JPEG of Death transforma a máquina do usuário em um cavalo de tróia, que pode ser controlada remotamente por hackers. A recomendação é instalar a correção do Windows e manter o antivírus atualizado - detalha Bicca.

A contaminação pelo AIM foi descoberta pelo Internet Storm Center, na quinta-feira passada. A invasão acontece quando o usuário recebe links para conhecer o perfil do interlocutor. Ao clicar, o vírus se espalha e envia o convite a todos os seus contatos, além de instalar um cavalo de tróia.

A Microsoft Brasil não quis comentar sobre o vírus mas, em um comunicado oficial, a matriz da empresa afirmou que, como o vírus não se replica sozinho, não representa grande risco aos usuários.

Apesar de alguns antivírus, como a McAfee e Norton, terem proteção genérica contra códigos maliciosos, detectar os vírus de imagens pode não ser tão simples. A maior parte dos programas, na sua versão padrão, busca contaminações em arquivos executáveis e não verificam as imagens. Mesmo que o software seja configurado para checar os JPEGs, a extensão de uma imagem pode ter até 11 variações, incluindo .ICON e .JPG2.

A verificação de tantos arquivos pode roubar poder de processamento significativo da máquina. Além disso, o Internet Explorer processa os JPEGs antes que eles sejam armazenados na memória cache, o que significa que os computadores podem ser infectados antes que o antivírus tenha tempo de agir.

www.symantec.com.br

www.microsoft.com/technet/security/bulletin/ms04-028.mspx