Anti-virusbedrijf Aladdin laat ons weten dat het een potentieel megavirus ontdekt heeft dat door het verzenden van JPEG-bestanden verspreid kan worden. Er zouden drie scenario’s zijn waarop wereldwijde verspreiding van het virus kan plaatsvinden.

Ten eerste kunnen geïnfecteerde bestanden meegestuurd worden als e-mail-attachement. Omdat desktop antivirusscanners voor de identificatie gericht zijn op file extensies en MIME scripts worden geïnfecteerde JPEG-bijlagen niet altijd geïdentificeerd. Daarnaast kan het virus ook verspreid worden door afbeeldingen op webpagina’s. De meeste beveiligingstoepassingen inspecteren namelijk geen JPEG-bestanden in HTTP en FTP. Links naar geïnfecteerde webpagina’s kunnen zich ook verspreiden via wormen in onder meer e-mail en instant messenger.

Het laatste scenario betreft een e-mail met een link naar een afbeelding. Hierbij stuurt een spammer een e-mail met een HTML-link naar het geïnfecteerde JPEG-bestand. Het bestand bevindt zich op de server en wordt automatisch gedownload via HTTP als de e-mail wordt geopend of bekeken. Zodra de afbeelding wordt bekeken in Outlook of Outlook Express, wordt de code geactiveerd.

“Uitgaande van deze scenario’s kan geconcludeerd worden dat een bedreigend mega-wormvirus snel kan worden verwacht. Deze aanval kan wereldwijd nog meer schade veroorzaken dan voorgaande ernstige virussen al gedaan hebben”, aldus Shimon Gruper van het anti-virusbedrijf.

De geïnfecteerde afbeeldingen hoeven zich niet alleen te bevinden op speciaal daarvoor opgezette webservers. Ze kunnen ook aanwezig zijn op eerder besmette computers die zich als webservers gedragen. Dit is vergelijkbaar met Nimda en andere wormen die Microsoft IIS webservers infecteerden.

Om de kans op het virus te verkleinen worden de volgende actiepunten aanbevolen:

• Vertrouw niet op SMTP of interne mail server content inspectie;
  
• gebruik een poorttoepassing die naast SMTP ook HTTP en FTP inspecteert;
  
• om spoofing te voorkomen moet de identificatie van JPEG-bestanden niet gebaseerd zijn op extensies of content type;
  
• JPEG-bestanden moeten al tijdens het downloaden geïnspecteerd worden en niet pas wanneer het gehele bestand is binnengehaald;
  
• alle onderdelen van het JPEG-bestand moeten volledig geïnspecteerd worden voordat zij vrijgegeven worden aan de gebruiker
  
• de poorttoepassing moet geen vertragingen en time-outs vertonen als verborgen JPEG-bestanden worden bezorgd of nieuwe afbeeldingen worden gedownload;
  
• voor hosted websites die file uploads toestaan; inspecteer alle geuploade JPEG-bestanden.