JPEG-Bilder mit Windows-Virus

[Johannes Müller]

Ich mache das sehr ungern, aber ich denke, da hier sehr viele Bilder veröffentlich werden, wäre es trotzdem angebracht:

 

Seit ca. Mitte September gibt es von Microsoft ein Patch für ihr GDI+, der verhindern soll, dass Viren in JPEG-Dateien ausgeführt werden können. Nun gibt es offensichtlich schon den ersten Virus, der sich mittels JPEG-Bilder in einem Rechner einnistet.

 

Der Link von Microsoft

 

Informationen über den Virus

Der Virus holt diverse Programme via FTP, installiert u.a. einen Fernwartungsserver (vollständige Kontrolle über den PC via Internet).

 

Was bedeutet das für uns?

1) Es soll jeder mal schleunigst den Patch installieren, falls noch nicht gemacht! Natürlich auch weiterhin alle Patches installieren...

2) Die alte Weisheit, dass Viren nur mit ausführbaren Dateien verteilt werden, gilt nun definitiv nicht mehr. (ok, das wäre theoretisch früher auch möglich gewesen - definitionssache)

3) Eine gute Antivirus-Software ist pflicht und muss auch regelmässig aktualisert werden.

 

Problematisch an diesem Virus ist, dass die GDI+-DLL-Datei empfohlenermassen (von Microsoft) von jedem Programm im eigenen Verzeichnis installiert wird. Dies bedeutet, dass ein Windows-Update nicht alle DLLs aktualisieren kann! So wäre es z.B. möglich, dass der Internet-Explorer gegen diesen GDI+-Virus gepatcht ist, aber dein Bildbearbeitungsprogramm (oder x-beliebiges Programm, welches via GDI+ JPEG-Bilder anzeigt) hingegen nicht gepatcht ist und für einen solchen Virus anfällig ist. Willkommen zum "DLL-Hell", wie das genannt wird ;). So gibt es auf obiger Microsoft-Seite einzelne Updates zu vielen Microsoft-Produkten.

 

Willst Du prüfen, ob es weitere Programme mit eigenen GDI+-Dateien gibt, so suchst Du in Deinem Computer nach den Dateien "GDIPLUS.DLL" und "SXS.DLL" (vorher "alle Datien anzeigen lassen" einschalten, sonst sieht man keine DLL-Datien). Das Ersetzen dieser Dateien durch die gepatchte Version im Windows-Ordner wäre eine Möglichkeit, aber ich bin nicht sicher, ob das für alle Programme machbar ist. Andererseits muss man auf ein Update des entsprechenden Programms warten... warten .... hoffen ... Welche Flugsimulator-Addons verwenden GDI+?

 

Die nächste Generation kann natürlich ganz anders aussehen, z.B. indem es die JPEG's auf deiner Festplatte infesziert, so dass Du beim Veröffentlichen Deiner neuen Spotter-/Simulatur-Bilder den Virus gleich weiterverteilst. Bis jetzt ist es noch nicht so weit, aber viel fehlt nicht, und ihr könnt darauf wetten, dass es kommen wird - jetzt ist noch Zeit da, um alles dafür vorzubereiten. Etwas Vorbereitung (sprich aktives, sicheres Verhalten mit allem was dazugehört) ist immer eine gute Sache (noch etwas Humor für diejenigen, die schon vorbereitet sind: Preparing for Emergencies).

 

Gruss

Johannes, der schon dafür gesorgt hat, dass das ganze Netzwerk durchsucht und dokumentiert wird ...

[Philip]

Tja, dann werden die Spotter-Berichte in Zukunft also noch spannender! :005:

 

Danke vielmals für den Tipp, Johannes. Von so etwas habe ich noch nie gehört. Meine digitale Naivität scheint grenzenlos. :009:

 

Besten Dank!

Philip

[Balsasplitter]

Danke Johannes,

 

für diesen wertvollen Tip. Habe schon drei Kunden :003: . Den Usern immer wieder eingebleut was geht und was nicht, und nun eröffnet sich wieder einmal mehr eine neue Front im Viren-Krieg :003: . Der Chäpseli-Chrieg mit MarkMun scheint nun definitiv ein Ende zu finden...

 

... schöne neue Welt !

 

 

Gruess,

Geni

[Thomas-P]

Hallo zusammen,

 

ich habe mich mal auf der MS-Seite umgeschaut. Leider ist alles etwas verwirrend. Scheinbar gibt es für die verschiedenen Programme Einzelpatches, also zb. Excel 2002, Excel 2003 etc.

 

Ganz oben steht ein Patch für Windows XP mit SP1. Heißt das nun, das der SP2 diese Lücke bereits geschlossen hat? Denn für XP mit SP2 gibt es keinen speziellen Patch.

[Johannes Müller]

Hi Thomas

Ja, laut Microsoft ist XP mit SP2 nicht anfällig - aber: dies gilt nur für's Betriebssystem, alle anderen Programme, die GDI+ selber installiert haben, müssen trotzdem einzeln gepatched werden. D.h. wenn Du Windows XP mit SP2 hast, aber z.B. Outlook 2002 verwendest, dann muss man trotzdem den Outlook 2002 Patch installieren. (Bei XP mit SP1 oder gar kein SP muss man zusätlich noch den entsprechenden Windows-XP-Patch installieren.)

Gruss

Johannes

[Johannes Müller]

Habe bei mir im Flugsimulator mal suchen lassen, dort ist in Ultimate Traffic auch eine GDIPLUS.DLL. Hat jemand schon andere Addons gefunden, die GDI+ verwenden? Vielleicht können wir hier mal eine kleine Liste zusammenstellen. Bin mal gespannt, wann die ersten Updates kommen (oder "ob")....

Gruss

Johannes

[Owndy]

Also ich weis, dass die

 

PMDG 737NG

 

GDI+ benützt, damit wurden die Intrumente erstellt.

 

Aus den "IMPORTANT INSTALLATION NOTES!" von PMDG:

Our aircraft uses GDI+, Microsoft's cutting-edge graphics device

interface technology available natively only in Windows XP.

Such technology can be made available to other Windows operating systems by

visiting the link above and installing GDI+ as per the instructions

given. It is preferable that the user installs the redistributable in

their Windows system folder, but they can also choose to place the --->GDI+

DLLs<--- in their default FS2002 installation directory, if they so choose.

 

IMPORTANT: The 737NG Software WILL NOT FUNCTION PROPERLY without GDI+ on

non- WindowsXP operating systems.

 

http://www.microsoft.com/downloads/release.asp?releaseid=32738

 

Eine Frage: Nun, ich hab mir das KB833987-Update (auf Deutsch) runtergeladen und installiert. Hilft das schon was?

 

@Johannes: Danke dafür, dass du uns darauf aufmerksam gemacht hast!

 

Viele Grüsse

[Johannes Müller]

Hi Andy

 

Vermutlich reicht das Installieren des Patches nicht, da die Hersteller von Microsoft die Anweisung haben, diese Dateien separat aufzuladen... Deshalb hat vermutlich auch PDMG diese Dateien irgendwo sonst noch installiert und Du musst sie suchen + ersetzen.

 

Durchsuche mal Dein System nach den Dateien GDIPLUS.DLL und SXS.DLL; das sind die beiden Dateien, die betroffen sind. Wenn Du den Fix von Microsoft installiert hast, dann müssten zumindest die Dateien im Ordner \Windows\system32 soweit "sauber" sein (Datum und Version sicherheitshalber prüfen, die richtigen stehen auf der obigen Microsoftseite).

 

Ich vermute, dass Du dann irgendwo sonst noch GDIPLUS.DLLs findest (gesehen habe ich das z.B. bei Roxio, HP-Scanner, WS-FTP, Dreamweaver, AutoCAD...). Benenne die bestehenden beiden DLLs in diesen Verzeichnissen um und kopiere die neuen hinein.

 

Gruss + besser gut vorsorgen als nachher alles neu formattieren ...

Johannes

[Johannes Müller]

Um alle möglichen Varianten von GDIPLUS.DLL zu finden, gibt es inzwischen ein Hilfsprogramm von SANS (eine offizielle Internet-Sicherheits-Organisation).

 

Der direkte Link zum Programm GDISCAN.EXE (muss nicht installiert werden, gleich starten + Laufwerk auswählen)

 

Der Link zur entsprechenden Seite bei SANS

 

sowie der Link zu einer kurzen Beschreibung (ist wirklich keine Hexerei).

 

Wichtig ist, dass die "schlechten Versionen" als "Vunerable" angezeigt werden (sowie in rot). So könnt Ihr prüfen, ob das Patch bei euch funktioniert hat bzw. welche Programme noch repariert werden müssen. Das Programm und die Links sind alle auf English, sorry... aber das Programm ist dermassen einfach zu verwenden, dass man auch ohne Englishkenntnisse auskommt!

 

Es gibt ein kleines Progrämmli, welches sucht und gleich ersetzt, ich habe es aber leider noch nicht testen können, da die Website überlastet ist ;) - vielleicht später, wenn ich eine Kopie davon bei mir aufladen kann.

 

Gruss

Johannes