Remove From My Forums

Malware: EXP/MS04-028.JPEG.A, wie loswerden?

Frage
0

Anmelden
Hallo allerseits,

seit ein paar Tagen bekomme ich immer wieder Meldungen von meinem Virenscanner, daß in jpeg-Dateien die Malware EXP/MS04-028.JPEG.A gefunden wurde.

Laut google sollten die betroffenen jpegs gelöscht werden (problemlos, da temporäre Zwischenschritte).

Aaaaber ... wie finde ich die Quelle der Malware, und wie werde ich sie los? Laut Google und Sophos wird eine Schwachstelle in der gdiplus.dll ausgenutzt.

Werdegang der betroffenen jpegs:

mit Photoshop cs2 speichere ich ein .tif mit mehreren Bildebenen (mindestens Hintergrund plus eine weitere Bildebene). Das so abgepeicherte tif ist noch ohne Befund (normale Größe, keine Meldung des Scanners).

Dann wandele ich diese Tiff mit einen selbstgeschrieben c#.net-Programm in mehrere jpeg mit unterschiedlicher Auflösung um. Und diese jpegs sind dann laut Virenscanner betroffen. Weiteres Merkmal: die jpegs werden auf viele MB aufgeblasen.

Der Werdegang über tifs mit eine Ebene und dann Umwandlung in mehrere jpeg bleibt ohne meldung und "normaler" Größe.

Lange Rede, kurzer Sinn ... wie finde ich die Quelle der Malware, und wie werde ich sie los?

Windows 7 ult 64, alle wichtigen Updates vom gestrigen Patchday sind installiert.

Danke im Voraus!

mfg Christian Stüben

ps.: Avira Antivir macht gerade "vollständige Systemüberprüfung". Wäre Microsoft Security Essentials KB 2267621 hier besser geeignet?
Christian Stüben Bedenke immer, die Welt ist eine flache Scheibe. www.haifischbar.com
- Verschoben Robert Breitenhofer Freitag, 17. Juni 2011 09:02 von MSDN zu TechNet verschoben (aus:Windows 7)
Donnerstag, 16. Juni 2011 09:45

Alle Antworten

0

Anmelden

> Dann wandele ich diese Tiff mit einen selbstgeschrieben c#.net-Programm

> in mehrere jpeg mit unterschiedlicher Auflösung um. Und diese jpegs sind

> dann laut Virenscanner betroffen. Weiteres Merkmal: die jpegs werden auf

> viele MB aufgeblasen.

Lokal gespeichert? -> procmon mit Filter auf den Zieldateinamen

Und die Virenprüfung evtl. mal von nem Bootmedium (Knoppicillin o.ä.).

mfg Martin

Kein MVP, kein MCSE. Nur ein wenig Erfahrung.

Donnerstag, 16. Juni 2011 10:59
0

Anmelden

Hallo kapitaen,

Schau Dir mal die folgenden Links an. Vielleicht können sie Dir weiter helfen.

'EXP/MS04-028.JPEG.A' [exploit] (jemand schreibt auf einmal: „…Ich würde vermuten, dass das Grafikprogramm einen bestimmten String im JPG verwendet, wo die Heuristik der Scanner anspringt. Typischer Fehlalarm…“)

"EXP/MS04-028.JPEG.A Exploit in Photos"

http://www.avira.com/de/support-threats-summary/tid/4475/exp_ms04_028.jpeg.a.html

Grüße,

Robert

Freitag, 17. Juni 2011 09:00
0

Anmelden

kapitaen:

seit ein paar Tagen bekomme ich immer wieder Meldungen von meinem Virenscanner, daß in jpeg-Dateien die Malware EXP/MS04-028.JPEG.A gefunden wurde.

Lade die Datei/en hier hoch und lasse sie prüfen: http://www.virustotal.com/
Dort werden sie von allen Scannern getestest, nicht nur von einem.
Wie ist das Ergebnis?

Freitag, 17. Juni 2011 09:44
0

Anmelden

Hallo kapitaen,

Schau Dir mal die folgenden Links an. Vielleicht können sie Dir weiter helfen.

'EXP/MS04-028.JPEG.A' [exploit] (jemand schreibt auf einmal: „…Ich würde vermuten, dass das Grafikprogramm einen bestimmten String im JPG verwendet, wo die Heuristik der Scanner anspringt. Typischer Fehlalarm…“)

"EXP/MS04-028.JPEG.A Exploit in Photos"

http://www.avira.com/de/support-threats-summary/tid/4475/exp_ms04_028.jpeg.a.html

Grüße,

Robert

Jau, den Beit5rag mit dem "string im jpeg" habe ich inzwischen auch gelesen. Aber sollte ich darauf vertrauen? Ich werde jetzt erstmalden Link von Hans Peter Matthes ausprobieren, was der dazu sagt. Und wenn der auch sagt "uh-oh, Dich hat´s erwischt" weiß ich auch schon was ich dann mache ...

Platten aus dem Notebook ausbauen, die alte Vista-Platte einbauen, Win7 neu installieren (ohne Programme, nur Virenscanner), und dann die alte infizierte extern dran und prüfen / reparieren lassen. Und wenn alles nichts hilft, tja, dann muß ich wohl auch die dicke Win7-Platte niedermachen und neu installieren.

mfg Chris
Christian Stüben Bedenke immer, die Welt ist eine flache Scheibe. www.haifischbar.com

Freitag, 17. Juni 2011 13:19

Anmelden

kapitaen:

seit ein paar Tagen bekomme ich immer wieder Meldungen von meinem Virenscanner, daß in jpeg-Dateien die Malware EXP/MS04-028.JPEG.A gefunden wurde.

Lade die Datei/en hier hoch und lasse sie prüfen: http://www.virustotal.com/
Dort werden sie von allen Scannern getestest, nicht nur von einem.
Wie ist das Ergebnis?

Das Ergebnis sagt, 14 von 38 Virencheckern haben was gefunden (siehe unten). Scheint also doch so zu sein, daß es mich erwischt hat. Ebenfalls für eine Infektion spricht, daß die angemeckerten jpegs nicht wie erwartet knapp über 2 MB groß sind, sondern 15 MB oder größer.

Also, Knoppilin her, oder die alte Vista-Platte wieder aus dem Schrank holen, niederbügeln und eine frische Reparaturinstallation machen ;-(

Und: beim IE, Chrom, Safari die Sicherheitseinstellungen nachschauen, was da falsch gelaufen ist.

mfg Chris

ps.: seltsam, seltsam. Laut http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx sind die Schadroutinen IN dem jpeg vorhanden. Aber bei mir werden die betroffenen jpegs gerade frisch von einem selbstgeschriebenen c#.net-Programm (Visual Studio 2005) aus einem unauffälligen tiff (frisch aus Photoshop cs2 abgespeichert) jeweils neu erzeugt. Der Effekt tritt nur dann auf, wenn das tiff zwei Bildebenen hat. Bei tiffs mit einer Bildebene läuft alles normal.

Nachtrag: laut dem Sec Bulletin wäre Office 2003 (läuft bei mit noch auf Win 7) die einzige infrage kommende Quelle des ganzen Übels. Aber alle Updates aus dem Patchday sind installiert.

Antivirus	Version	Last Update	Result
AhnLab-V3	2011.06.17.00	2011.06.16	-
AntiVir	7.11.10.6	2011.06.17	EXP/MS04-028.JPEG.A
Antiy-AVL	2.0.3.7	2011.06.17	-
Avast	4.8.1351.0	2011.06.17	MS04-028 JPEG
Avast5	5.0.677.0	2011.06.17	JPG:MS04-028
BitDefender	7.2	2011.06.17	-
CAT-QuickHeal	11.00	2011.06.17	JPEG.Exploit.ms04-028
ClamAV	0.97.0.0	2011.06.17	-
Commtouch	5.3.2.6	2011.06.17	CVE-2004-0200
Comodo	9093	2011.06.17	-
eSafe	7.0.17.0	2011.06.15	-
eTrust-Vet	36.1.8392	2011.06.17	Win32/MS04-028!exploit
F-Prot	4.6.2.117	2011.06.17	CVE-2004-0200
F-Secure	9.0.16440.0	2011.06.17	-
Fortinet	4.2.257.0	2011.06.16	W32/MS04028.fam!exploit
GData	22	2011.06.17	MS04-028 JPEG
Ikarus	T3.1.1.104.0	2011.06.17	-
Jiangmin	13.0.900	2011.06.16	-
K7AntiVirus	9.106.4819	2011.06.16	-
Kaspersky	9.0.0.837	2011.06.17	-
McAfee	5.400.0.1158	2011.06.17	-
McAfee-GW-Edition	2010.1D	2011.06.17	-
Microsoft	1.6903	2011.06.13	-
NOD32	6217	2011.06.17	-
Norman	6.07.10	2011.06.17	JPEG/Exploit.gen
nProtect	2011-06-17.01	2011.06.17	-
Panda	10.0.3.5	2011.06.17	Exploit/MS04-028.gen
PCTools	7.0.3.5	2011.06.17	-
Prevx	3.0	2011.06.17	-
Rising	23.62.03.03	2011.06.17	-
Sophos	4.66.0	2011.06.17	Exp/MS04-028
SUPERAntiSpyware	4.40.0.1006	2011.06.17	-
Symantec	20111.1.0.186	2011.06.17	-
TheHacker	6.7.0.1.230	2011.06.14	-
TrendMicro	9.200.0.1012	2011.06.17	-
VBA32	3.12.16.2	2011.06.17	Exploit.JPG
ViRobot	2011.6.17.4519	2011.06.17	-
VirusBuster	14.0.83.0	2011.06.16	Exploit.MS04-028

Christian Stüben Bedenke immer, die Welt ist eine flache Scheibe. www.haifischbar.com

Freitag, 17. Juni 2011 13:56

0

Anmelden

Nachtrag ... habe gerade versucht, den im Sec Bulletin angegebenen Update einzuspielen, Meldung: "... has already been applied ...", ist also auch schon laaange installiert.

Seufz ...

mfg Chris
Christian Stüben Bedenke immer, die Welt ist eine flache Scheibe. www.haifischbar.com

Freitag, 17. Juni 2011 14:27

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Fragensteller

Malware: EXP/MS04-028.JPEG.A, wie loswerden?

Frage

Alle Antworten