Herramienta gratuita para detectar y reparar JPEGEsta es una herramienta gratuita, creada por DiamondCS de Australia, para detectar y reparar archivos JPEG modificados por el exploit descrito en el boletín MS04-028 de Microsoft (vulnerabilidad en componente GDI+).
¿Qué es el exploit MS04-028 (JPEG exploit)?. El 14 de setiembre de 2004, Nick DeBaggis descubrió una vulnerabilidad del tipo desbordamiento de búfer en el componente GDIPLUS.DLL, una librería utilizada por muchas y conocidas aplicaciones, incluyendo la mayoría de las aplicaciones de Microsoft, para visualizar imágenes JPEG.
Un análisis realizado por el equipo de eEye, confirmó que esta vulnerabilidad puede ser explotada para ejecutar código en forma arbitraria, permitiendo que un atacante llegue a tomar el control de un sistema remoto, simplemente engatusando a su víctima para que ésta visualice una imagen JPG especialmente modificada.
El boletín MS04-028 de Microsoft, publica los parches y otra información necesaria para la protección de aquellos usuarios afectados. Por ello, todo exploit que se aprovecha de esta vulnerabilidad, es conocido como "Exploit MS04-028".
La infección se puede producir por el simple acto de visualizar un archivo JPG, si el programa usado para esta acción, utiliza la versión vulnerable de la librería GDIPLUS.DLL. Esto afecta a una gran cantidad de aplicaciones.
Más información:
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htmDiamondCS JPEGScan es una herramienta gratuita, pequeña y fácil de utilizar para examinar y reparar todos los archivos JPEG que pudieran estar infectados por un exploit MS04-028.
La herramienta puede detectar todas las variantes conocidas del exploit, utilizando técnicas diferentes a la simple búsqueda de cadenas específicas. Lo que hace es examinar detenidamente todos los bloques de cada archivo JPEG, buscando diferencias en los límites de las secciones de comentarios, que indican la presencia de un posible exploit.
La reparación reajusta los tamaños de esos límites a su verdadero tamaño, y si el archivo está basado en una imagen real, ésta podrá ser visualizada correctamente. También es posible borrar las imágenes infectadas que no puedan ser reparadas (y que tampoco son imágenes reales, sino un código malicioso).
JPEGScan también permite la integración de la herramienta en el menú contextual del Explorer, permitiendo que con un simple clic en el botón derecho en cualquier archivo, directorio o unidad de disco, se comience a escanear inmediatamente en busca de archivos JPEG infectados.
Además de su utilidad para usuarios domésticos, este instrumento resultará de especial interés para todos los administradores de redes, quienes podrán examinar toda su red en busca de imágenes infectadas.
Las principales rutinas de JPEGScan están escritas en assembler, de modo que no solo es muy pequeño (apenas 28 Kb), sino extraordinariamente veloz en su tarea.
JPEGScan, puede ser descargado gratuitamente del siguiente enlace:
http://www.diamondcs.com.au/jpegscan/Referencias:
DiamondCS
www.diamondcs.com.auRelacionados:
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htmInfectarse por ver una imagen ya no es un mito
http://www.vsantivirus.com/ev-15-09-04.htm¡Peligro inminente de virus en imágenes JPEG!
http://www.vsantivirus.com/18-09-04-jpeg.htmVirus en imágenes JPEG: Cuenta regresiva
http://www.vsantivirus.com/23-09-04.htmInfectarse por ver una imagen ya no es un mito
http://www.vsantivirus.com/ev-15-09-04.htmTroj/Ducky.A. Explota la vulnerabilidad en JPEG
http://www.vsantivirus.com/troj-ducky-a.htmHerramienta para explotar vulnerabilidad JPEG
http://www.vsantivirus.com/ev-25-09-04.htmGusano JPEG en mensaje de AOL Instant Messenger
http://www.vsantivirus.com/04-10-04.htmOutlook visualiza imágenes aún en modo solo texto
http://www.vsantivirus.com/vul-outlook-cid-221004.htmNuevo Bagle infecta equipos y amenaza con un JPG
http://www.vsantivirus.com/ev-29-09-04.htmPublicado en:
http://www.vsantivirus.com/jpegscan.htm
