Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE NEWS NEWS WEB NEWS SOFTWARE SEGNALA NEWS CERCA NEWS »

Rischi di fine anno



adv

[ Realtek AC'97 driver ] [ MSN Messenger 8: un virus ]
Pubblicato da Sbavi il 29/12/2005 alle 00:00

Grazie ad Infinitopiùuno per la gentile segnalazione


[IxT]Sicurezza: guarda un'immagine sul Web e t'infetti

Questo articolo vi arriva grazie alle gentili donazioni di  "riccardo.camp***", "Noris.Trave***" e "arkadyn".

Se i link contenuti in questo articolo non funzionano o sono  spezzati, leggete la versione Web cliccabile nel mio blog:

http://tinyurl.com/dzrho

F-Secure ha annunciato ieri (28 dicembre 2005) una falla estremamente  grave in Windows, che consente di infettare un computer Windows  semplicemente visitando un sito Web appositamente confezionato e  contenente un'immagine nel formato WMF:

http://www.f-secure.com/weblog/archives/archive-122005.html#00000753

Al momento in cui scrivo, Microsoft non ha ancora distribuito un  aggiornamento (patch) che corregga la falla, che colpisce Windows XP  anche se dotato di tutti gli aggiornamenti di sicurezza finora  rilasciati. L'avviso ufficiale di Microsoft è disponibile presso  Microsoft Technet (in inglese):

http://www.microsoft.com/technet/security/advisory/912840.mspx

Numerosi siti (alcuni sono indicati nella pagina di F-Secure),  specialmente quelli porno e dedicati ai programmi pirata, stanno già  usando questa tecnica di attacco per infettare i computer Windows con  ogni sorta di spyware e altro software ostile, compresi programmi per  controllare da remoto i computer delle vittime e programmi che  fingono di essere antispyware e chiedono soldi (tramite carta di  credito) per eliminare l'infezione trovata nel computer:

http://www.f-secure.com/v-descs/avgold_d.shtml

Il sito di sicurezza Websense ha delle schermate e un filmato che mostrano il comportamento di un Windows infettato tramite questa falla:

http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=385

http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv

La falla è particolarmente grave e interessante perché colpisce anche  gli utenti Windows che usano browser alternativi come Firefox o  Opera. L'unica differenza, piuttosto importante, è che mentre chi usa  Internet Explorer viene infettato direttamente appena visita il sito trappola, chi usa i browser alternativi viene avvisato da un  messaggio di allerta e s'infetta solo se risponde affermativamente al  messaggio. Anche la semplice visualizzazione di una cartella  contenente un file WMF infetto tramite Esplora Risorse o il Fax  Viewer di Windows è sufficiente a infettare.

A quanto mi risulta finora, gli utenti di altri sistemi operativi non  sono colpiti da questa falla.

Un altro aspetto di particolare interesse della falla è che chi ha Google Desktop è ancora più vulnerabile. Per infettarsi, in questo  caso, è sufficiente scaricare l'immagine WMF infetta. Google Desktop,  infatti, indicizza e legge subito il file scaricato e ne passa il  contenuto infettante a Windows, che lo esegue automaticamente.  Secondo F-Secure, l'infezione ha luogo persino se si scarica il file  usando una finestra DOS (tramite per esempio Wget) e anche se il file 
infetto non ha l'estensione WMF nel nome ma è comunque scritto nel  formato WMF.

Il problema nasce dalla natura particolare del formato WMF, che fu  introdotto da Microsoft in Windows 3.0: invece di rappresentare i  singoli punti di un'immagine, contiene una serie di istruzioni di  disegno che spetta al sistema operativo interpretare (grafica  vettoriale, insomma). Purtroppo le istruzioni possono essere  confezionate in modo maligno e Windows non è capace di bloccare  queste istruzioni ostili. Per il momento, in attesa che Microsoft rilasci un aggiornamento che  corregga la falla, è opportuno bloccare l'interpretazione delle  immagini WMF.

Sunbelt, per esempio, consiglia di disabilitare il componente fallato  di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui),  digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows:

http://sunbeltblog.blogspot.com/2005/12/workaround-for-wmf-exploit.html

La disabilitazione è permanente fino a quando date il comando di  riabilitazione, che è REGSVR32 SHIMGVW.DLL. Sunbelt avvisa che questo  rimedio interferisce con la visualizzazione di tutti i tipi di  immagine nel visualizzatore fax e immagini di Windows, quando viene  invocato da Internet Explorer: in altre parole, può risultare  piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti).

Sans suggerisce inoltre di applicare la funzione DEP del Service Pack  2 a tutti i programmi. Se non avete idea di cosa sia DEP, chiedete a  un esperto di farlo per voi:

http://isc.sans.org/diary.php?storyid=975


Fonte


Segnala su: Ok Notizie Technorati Digg Delicious FriendFeed UpNews Segnalo Yahoo Google News Windows Live Twitter MySpace Facebook
Leggi tutto o commenta
 In evidenza Spia chiunque tramite cavo USB
Commenti:
blackfate
... Già a vedere il filmato mi è venuto un gran nervoso...
Ma poi, chi mai sarà così ebete da comprare un software prodotto da un criminale che gli ha appena infettato il pc??? Oddio... alla fine qualche scemo disperato ci sarà di sicuro... Strano che nessuno persegua penalmente i produttori del prog antispyware pubblicizzato, comunque piuttosto di dare 39 euro a qualche delinquente informatico faccio un backup dei dati e poi formatto all'istante, il tutto naturalmente essendomi già fatto un'idea sul lavoro che fanno le madri dei creatori di tal virus e di tal programma....!!!
xmatrix83
io invece sarei curioso di provare questo virus,per testare il mio antivirus e il mio firewall,che fino ad ora non hanno mai fallito...tanto devo formattare lunedi....se qualcuno conosce un sito infetto me lo posterebbe in pvp??

ahiuhhai non prendetemi per matto!
RNicoletto
Quota :
Originariamente inviato da Flying Luka
La falla è particolarmente grave e interessante perché colpisce anche gli utenti Windows che usano browser alternativi come Firefox o Opera. L'unica differenza, piuttosto importante, è che mentre chi usa Internet Explorer viene infettato direttamente appena visita il sito trappola, chi usa i browser alternativi viene avvisato da un messaggio di allerta e s'infetta solo se risponde affermativamente al messaggio.

Nel caso di un utente che utilizza Firefox oppure Opera e viene comunque infettato da questo trojan c'è poco da fare: la falla si trova proprio nel suo cervello!
Leggi gli altri 3 commenti o partecipa alla discussione »
[ Realtek AC'97 driver ] [ MSN Messenger 8: un virus ]