PDA

View Full Version : Patch KAV per Windows Meta File (WMF)!!


nV 25
30-12-2005, 18:00
http://www.kaspersky.com/faq?qid=176830011

.. la patch consente la scansione di files con estensione .wmf da parte dell'antivirus sia in real time che in modalita' on demand. Pochi giorni fa e' uscita una falla in windows xp (sia con sp1 che sp2) e anche in windows 2003. Il codice nocivo sfrutta una vulnerabilità nel motore di rendering grafico WMF di Windows per scaricare e installare sul computer attaccato malware e trojans.


KAV personal (http://www.kaspersky.com/faq?qid=176830011#personal)
KAV Pro (http://www.kaspersky.com/faq?qid=176830011#pro)

andorra24
30-12-2005, 18:06
Ottima segnalazione nV. Ho appena visto il thread aperto da don pelotas su wilderssecurity che annunciava questa patch. :)

nV 25
30-12-2005, 20:28
Ho appena visto il thread aperto da don pelotas su wilderssecurity che annunciava questa patch. :)
infatti, ero incerto se postarla e alla fine mi sono deciso.... :D

PS: sei contenta? Hanno aperto sempre su Wilders il supporto ufficiale ad Ewido, un programma che se non sbaglio ami? :D...
http://www.wilderssecurity.com/forumdisplay.php?f=80

andorra24
30-12-2005, 20:50
infatti, ero incerto se postarla e alla fine mi sono deciso.... :D

PS: sei contenta? Hanno aperto sempre su Wilders il supporto ufficiale ad Ewido, un programma che se non sbaglio ami? :D...
http://www.wilderssecurity.com/forumdisplay.php?f=80
Si ho visto che hanno aperto la sezione ufficiale di ewido su wilderssecurity. Hanno fatto benissimo a sistemarsi su wilders perche' li' avranno un'ottima visibilita' vista l'importanza di quel forum. C'era gia' un forum di ewido su CastleCops.com ma non e' ufficiale. :)

andorra24
30-12-2005, 23:18
A che serve questa patch?
Nel link postato da nV 25 c'e' tutta la spiegazione su questa patch. In poche parole la patch consente la scansione di files con estensione .wmf da parte dell'antivirus sia in real time che in modalita' on demand. Pochi giorni fa e' uscita una falla in windows xp (sia con sp1 che sp2) e anche in windows 2003. Il codice nocivo sfrutta una vulnerabilità nel motore di rendering grafico WMF di Windows per scaricare e installare sul computer attaccato malware e trojans.

pistolino
31-12-2005, 10:28
Nel link postato da nV 25 c'e' tutta la spiegazione su questa patch. In poche parole la patch consente la scansione di files con estensione .wmf da parte dell'antivirus sia in real time che in modalita' on demand. Pochi giorni fa e' uscita una falla in windows xp (sia con sp1 che sp2) e anche in windows 2003. Il codice nocivo sfrutta una vulnerabilità nel motore di rendering grafico WMF di Windows per scaricare e installare sul computer attaccato malware e trojans.

spero che anche la symantec intervenga in qualche modo :(

Ferdy78
31-12-2005, 11:06
NV, grazie per la segnalazione anche da parte mia :) :cincin: :mano:

Ferdy78
31-12-2005, 11:07
spero che anche la symantec intervenga in qualche modo :(
:D :D ....me lo auguro per te :D :D

kuoppamaki
31-12-2005, 12:31
grazie per l'informazione sulla patch,qualcuno e' riuscito ad installarla? io uso kaspersky personal 5.0.388 e non ci sono riuscito..ho letto le istruzioni sul sito di kaspersky e mi dice che dopo aver lanciato la patch devo cliccare su accetta(come per tutti i programmi) ma quando io lancio la patch parte l'installazione,ma dopo 1 secondo sparisce tutto e non mi rimanda alla schermata dove devo accettare i termini ma mi fa ritornare con l'immagine sul desktop..qualcuno saprebbe aiutarmi?ho fatto la scansione antivirus sia sul pc che online e mi risulta tutto pulito..non saprei proprio dove andare a parare..grazie a tutti,ciao e auguri

nV 25
31-12-2005, 12:59
grazie per l'informazione sulla patch,qualcuno e' riuscito ad installarla? io uso kaspersky personal 5.0.388 e non ci sono riuscito..ho letto le istruzioni sul sito di kaspersky e mi dice che dopo aver lanciato la patch devo cliccare su accetta(come per tutti i programmi) ma quando io lancio la patch parte l'installazione,ma dopo 1 secondo sparisce tutto e non mi rimanda alla schermata dove devo accettare i termini ma mi fa ritornare con l'immagine sul desktop..qualcuno saprebbe aiutarmi?ho fatto la scansione antivirus sia sul pc che online e mi risulta tutto pulito..non saprei proprio dove andare a parare..grazie a tutti,ciao e auguri
l'unica cosa che mi può venire in mente è questa:
ma sei loggato con i diritti di amministratore?

"You need the local administrator rights to run it, otherwise the program displays a message in English informing that the patch cannot be run"...

kuoppamaki
31-12-2005, 13:05
ciao nV 25 mi puoi spiegare meglio per favore?non credo di aver capito cosa intendi..ciao

nV 25
31-12-2005, 13:43
ciao nV 25 mi puoi spiegare meglio per favore?non credo di aver capito cosa intendi..ciao
in sostanza devi assicurarti che quando entri in Windows tu sia amministratore di sistema, quindi con tutti i privilegi che dicendono da un accesso di questo tipo e che, come ovvio, sono decisamente maggiori rispetto a quelli concessi ad un utente "guest" ( ospite).
Questo semplice articolo [ Link (http://www.vnunet.it/detalle.asp?ids=/Trucchi/PC_e_Mondo_Digitale/Trucchi_~_Consigli/20050729017) ] spiega meglio il concetto di guest/amministratore.

Quando fai il Log-in, allora, lo devi fare con la USER & PASS dell'amministratore...

pistolino
31-12-2005, 14:13
:D :D ....me lo auguro per te :D :D

è intervenuta :D :)
norton mi ha appena scaricato una regola euristica che rileva i codici exploit dei file WMF dannosi :)

kuoppamaki
31-12-2005, 15:07
si,uso il mio pc come amministratore,e non come guest,per cui dovrei avere tutti i privilegi che ne conseguono..ma questa maledetta patch non si installa..

kuoppamaki
31-12-2005, 15:13
grazie ancora,sono riuscito a scoprire l'arcano..il mio norton personal firewall mi bloccava l'applicazione della patch..adesso tutto ok..grazie a tutti auguroni

bigbeat
01-01-2006, 18:32
è intervenuta :D :)
norton mi ha appena scaricato una regola euristica che rileva i codici exploit dei file WMF dannosi :)


Aspettando la patch ufficiale della Microsoft che tappi quest'ennessima falla critica sù XP potresti dirmi il nome esatto della regola da te menzionata e come l'hai scaricata (LiveUpdate?).
Grazie...

bigbeat
02-01-2006, 19:32
UP...

bigbeat
03-01-2006, 21:13
Ah si,ho capito,la regola euristica di cui parli è questa:

http://www.symantec.com/avcenter/venc/data/bloodhound.exploit.56.html

eliogolf
04-01-2006, 08:17
ehm,siccome quella patch è per la versione 5,io ho la versione 6.0.0.251 ( non a), devo mettere la versione nuova o la 6 già la ha incorporata la patch?

nothinghr
04-01-2006, 17:59
Ho trovato questa news a proprosito di una patch non ufficiale che ha preceduto quella microsft che verrà rilasciata il 10 gennaio a quanto pare:

Falla WMF: Patchare o Aspettare?

Nonostante Microsoft abbia già promesso il rilascio di un patch ufficiale per la vulnerabilità di Windows relativa ai files WMF che sta mettendo in questi giorni a rischio di attacchi exploit milioni di utenti della rete, F-Secure e Internet Storm Center, due aziende specializzate in sicurezza, incoraggiano utenti e aziende ad applicare la patch non ufficiale temporanea già disponibile in rete.

Bisognerà infatti aspettare ancora una settimana prima d poter installare la patch ufficiale di Microsoft, già sviluppata ma attualmente in fase di testing. Una versione pre-release di questa patch a quanto pare è già trapelata in rete su un forum dedicato alla sicurezza, lo riporta Mike Reavey del Microsoft Security Response Center su blog ufficiale del Team. Ovviamente Microsoft invita gli utenti ad non installare questa versione potenzialmente instabile ed a fare riferimento al Security Advisory 912840 per le novità sul problema di sicurezza. Microsoft, inoltre sconsiglia di installare patch non ufficiali realizzate da terzi, come regola generale. Questo perchè non ne può garantire qualità e compatibilità.

Mikko Hypponen, director della antivirus research presso F-Secure, ha affermato che le aziende possono ritenere sicura la patch non ufficiale creata da Ilfak Guilfanov, autore del famoso IDA (Interactive Disassembler Pro) e uno dei maggiori esperti di “low-level Windows” al mondo. L'Internet Storm Center ha ammesso che molte aziende potranno essere sicuramente restie ad installare un patch non ufficiale sui loro sistemi, ma ha evidenziato la necessita di effettuare al più presto l'aggiornamento preventivo.

ZDnet News ha pubblicato una galleria di siti web nei quali è presente il codice di attacco exploit alla vulnerabilità WMF. SANS Internet Storm Center ha pubblicato invece un FAQ dedicata al problema di sicurezza WMF, disponibile anche in traduzione in lingua italiana. -> WMF FAQ in italiano


Nel frattempo il blog di Ilfak Guilfanov, nel quale era stata resa disponile la patch non ufficiale, è andato off-line a causa dell'elevato traffico di rete. Guilfanov ha creato un sito web temporaneo in cui fornisce vari links mirrors alla patch http://216.227.222.95/

Dalla FAQ del SANS Internet Storm Center (traduzione italiana di Andrea Pescetti)

Come funziona la patch non ufficiale? In ogni processo che carica user32.dll viene "iniettata" wmhotfix.dll, che modifica in memoria la funzione Escape() di gdi32.dll in modo che essa ignori tutte le chiamate che utilizzano il parametro SETABORTPROC (0x09). Questo dovrebbe impedire l'attacco ma consentire ai programmi Windows di mostrare normalmente i file WMF. La versione della patch disponibile sul sito di SANS è stata verificata con il codice sorgente messo a disposizione e testata con tutte le varianti note dell'attacco. Dovrebbe funzionare su Windows XP (anche con SP1 o SP2) e con Windows 2000.

E se io annullassi solo la registrazione della DLL, senza usare la patch non ufficiale?
Potrebbe essere comunque d'aiuto, ma non è una soluzione sicura al 100%: la DLL può essere registrata di nuovo da codice maligno o da normali installazioni, e può succedere che ri-registrare la DLL su un sistema attivo che ha subito un attacco non andato a buon fine possa innescare tale attacco. Inoltre potrebbero esserci altri modi di chiamare la funzione Escape() di gdi32.dll. Finché non verrà messa a disposizione una patch da Microsoft, consigliamo di usare la patch non ufficiale oltre ad annullare la registrazione di shimgvw.dll.

Che ne dite?

Faethon
04-01-2006, 18:15
Ci hanno già provato con la dll e ho letto che non basta.Poi una ha usato la patch non ufficiale di SANS e dice che ha rotto qualcosa in Win.Io aspetterei.

La migliore protezione preventiva è programma non basato su firme.Poi il codice maligno viene aggiornato molto in questi giorni e sfornano nuove varianti.Per fortuna ho letto che per ora sembra che non abbiano intenzioni di infezioni massicce,perchè hanno sfruttato poco la cosa.Boh.

Cmq,ho postato un nuovo set di exploit dimostrativo (in zip) con il nuovo codice qui (la 2a pagina):

http://www.hwupgrade.it/forum/showthread.php?t=1100707&page=2

Se vuoi provalo.Cercherà di aprire il blocco note

roby59
08-01-2006, 18:11
qualcuno di voi è riuscito a scaricare la patch di kaspersky per WMF?
Io vado sul Link :
http://www.kaspersky.com/faq?qid=176830011#personal
ma non riesco a scaricare la patch!!!
sbaglio qualcosa?
ciao

nothinghr
08-01-2006, 23:50
qualcuno di voi è riuscito a scaricare la patch di kaspersky per WMF?
Io vado sul Link :
http://www.kaspersky.com/faq?qid=176830011#personal
ma non riesco a scaricare la patch!!!
sbaglio qualcosa?
ciao
Piu' che altro è inutile, dato che è uscita la patch della microsoft ;)