Het opduiken van de plaatjes 'in het wild' komt niet als een verrassing. Nadat Microsoft eerder deze maand patches publiceerde voor het jpeg-lek, publiceerde een veiligheidssite een zogenoemd proof-of-concept van een besmet plaatje. Experts vreesden toen al voor verdere verspreiding, wat nu dus ook daadwerkelijk is gebeurd.

De bewuste plaatjes zijn eerder deze week gepubliceerd in diverse binary-nieuwsgroepen met pornografisch beeldmateriaal, zoals alt.binaries.erotica.breasts. Verantwoordelijk is iemand die gebruikmaakt van het mailadres [email protected] Dit blijkt uit informatie op discussiegroep Bugtraq en Easynews.com, een webportal voor nieuwsgroepen.

De gecorrumpeerde plaatjes zijn op het eerste gezicht niet van normale plaatjes te onderscheiden. Maar wie de afbeeldingen downloadt, haalt daarmee ook de code binnen die is ingebakken. Hierna kunnen kwaadwillenden de totale controle over een getroffen pc verkrijgen, zo stelt Johannes Ullrich van het Internet Storm Center van het SANS Institute. Dit gebeurt door het installeren van het programma Radmin, dat bedoeld is voor het op afstand beheren van een computer.

De plaatjes werken alleen op (ongepatchte) Windows XP-machines. Technisch gesproken is er overigens geen sprake van een virus, omdat de plaatjes zichzelf niet kunnen vermenigvuldigen. Volgens Ullrich kan dit echter wel de volgende stap zijn na het toevoegen van een virus-engine.

Beveiligingsbedrijf Finjan meldt ondertussen dat het risico nog veel groter is dan Microsoft beseft. Volgens onderzoekers van Finjan is het niet eens nodig een afbeelding via een nieuwsgroep of een mailtje te downloaden om besmet te raken. "Aanvallers kunnen een pc overnemen nadat de gebruiker simpelweg een pagina heeft bekeken waarop een aangepast plaatje staat." Gebruikers van Internet Explorer hebben hiermee ook last van het probleem, wat volgens Finjan in eerste instantie niet het geval zou zijn.

<i><b><FONT COLOR="#CC0033">Update</FONT>, 13:30 uur:</b> Informatie van Finjan toegevoegd.</i>