ATTENZIONE: I test del sito possono far scattare l' antivirus,e se hanno successo,possono riavviare o bloccare il PC.Non causa vera infezione.I file sono solo dimostrativi del potenziale della vulnerabilità.I file si possono eliminare anche manualmente e riavviando tutto va bene.

http://multitudious.com/test.html

Io ho provato sia con Firefox che con IE.Con Firefox era molto meglio,ti avvisa se vuoi aprire il file,e anche se ho accettato il mio WMP9 dava solo errore e rifiutava di eseguire.

Con IE mi ha salvato Process Guard e si vede che uno lo deve evitare come la peste,perchè in più istanze ha bloccato drwatson dal terminare rundll32.exe

Ciao,

ottima segnalazione, così ho potuto collaudare la patch di KAV ;)



http://www.webalice.it/wgator/temp/wmfexploit.jpg

Eh,già,il buon KAV non scherza e la qualità si vede.Al contrario il mio AVG non vede nulla di strano in quel sito(non che mi meraviglio,l' ho messo perchè leggero non perchè il migliore :D ).Ewido d' altra parte ,on demand,mi ha visto il codice maligno nel Internet temp di IE.

Cmq,questa falla è grossa e rischia di diventarlo ancora di più.Il tizio del sito già ha fatto varianti con jpeg,gif ed è possibile farlo con avi,pic e più ne hai più ne metti.Esiste la patch non ufficiale,ma speriamo che mamma Microsoft si svegli e dia una patch vera ,prima che si infettino molti.

Ciao,

se mi permettete, lascierei in evidenza per qualche giorno, almeno finchè non escono rimedi ufficiali su Microsoft Windows Update, così tutti possiamo collaudare il funzionamento delle varie patch provvisorie che si trovano in rete

Per chi non ricordasse di cosa si tratta: http://secunia.com/advisories/18255/

Ottima idea.E un opportunità sia di informarsi della falla sia di testare le difese.E di avere in mente che purtroppo escono molte varianti non tutte subito riconosciute dagli antivirus e quindi ci vuole la massima cautela.Basta visitare un sito infetto e ti può fregare.

1-Allora...il WMF viene bloccato da ANTIVIR sia con Firefox sia con IE.

2-Con Firefox le immagini non le visualizza, da questo messaggio:
L'immagine “http://multitudious.com/test-1.gif” non può essere visualizzata poiché contiene degli errori.

3-Invece con IE le immagini vengono segnalate come virus dal mio Antivir.


Sapete dirmi se è un male il punto 2? Direi di no..
Ciao ciao ;)

Qui si può seguire l' evoluzione della situazione.Oggi per esempio nuova variante in Korea e stavolta hanno cominciato a mandarli con la posta,quindi non più solo siti infetti.

http://www.f-secure.com/weblog/

Sapete dirmi se è un male il punto 2? Direi di no..

No,non è male,anzi.Purtroppo,dove cè virus e spyware,IE funziona SEMPRE :D

Ragazzi!!
Problemone!!! :muro:

Ho preso il file "meta2.wmf"...Me l'ha salvato nei documenti...ora se entro mi spegne il PC!!!

Come diavolo lo rimuovo di li?
Ma porca miseria..ok, sono vulnerabile, però non poteva darti solo il messaggio senza arrestare il sitema?

Aiutatemi plz... :(

Ciao,

Ho provato a dare in pasto una di quelle wmf a "virustotal" Sembra che siano corsi ai ripari un parecchi :)

This is a report processed by VirusTotal on 01/02/2006 at 17:56:22 (CET) after scanning the file "test-1.wmf" file.
Antivirus Version Update Result
AntiVir 6.33.0.70 01.02.2006 EXP/IMG.WMF
Avast 4.6.695.0 01.02.2006 Win32:Exdown
AVG 718 01.02.2006 Exploit.WMF
Avira 6.33.0.70 01.02.2006 EXP/IMG.WMF
BitDefender 7.2 01.01.2006 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 01.02.2006 WMF.Exploit
ClamAV devel-20051123 01.02.2006 Exploit.WMF.A
DrWeb 4.33 01.02.2006 no virus found
eTrust-Iris 7.1.194.0 01.01.2006 Win32/Worfo!Trojan
eTrust-Vet 12.4.1.0 01.01.2006 Win32/Worfo
Ewido 3.5 01.02.2006 Not-A-Virus.Exploit.Win32.IMG-WMF
Fortinet 2.54.0.0 12.31.2005 W32/WMF-exploit
F-Prot 3.16c 01.01.2006 no virus found
Ikarus 0.2.59.0 01.02.2006 Exploit.Win32.IMG-WMF
Kaspersky 4.0.2.24 01.02.2006 Exploit.Win32.IMG-WMF
McAfee 4665 01.02.2006 Exploit-WMF
NOD32v2 1.1348 01.02.2006 Win32/TrojanDownloader.Wmfex
Norman 5.70.10 12.31.2006 W32/Exploit.Gen
Panda 9.0.0.4 01.02.2006 Exploit/Metafile
Sophos 4.01.0 01.02.2006 Exp/WMF-A
Symantec 8.0 01.02.2006 Bloodhound.Exploit.56
TheHacker 5.9.2.067 01.02.2006 Exploit/WMF
UNA 1.83 12.30.2005 no virus found
VBA32 3.10.5 01.01.2006 no virus found

www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail

Nei documenti?Non nei file temporanei?Non capisco com'è finito da solo nei documeti.Eliminalo manualmente o con Ewido.

Ragazzi!!
Problemone!!! :muro:

Ho preso il file "meta2.wmf"...Me l'ha salvato nei documenti...ora se entro mi spegne il PC!!!

Come diavolo lo rimuovo di li?
Ma porca miseria..ok, sono vulnerabile, però non poteva darti solo il messaggio senza arrestare il sitema?

Aiutatemi plz... :(

Ok l'ho rimosso... :p
...però spiegatemi una cosa, per quale motivo deve spegnere il PC??
E come fanno a simulare un virus senza avere gli effetti negativi dello stesso?
Grazie.
Ciao ;)

Ok l'ho rimosso......però spiegatemi una cosa, per quale motivo deve spegnere il PC??
E come fanno a simulare un virus senza avere gli effetti negativi dello stesso?
Grazie.

Ah,mi pareva strano ,perchè il tizio col sito è white hat,non black :D

Infatti,l' exploit normale,non ti riavvia il PC.Ti scarica un dropper che ti installa un bel trojan e non mi ricordo che altri programmini.In teoria è a scelta dello scrittore del virus.
Lui,essendo white hat,ha preferito di farti solo un riavvio,solo per mostrarti di cosa è capace.

Per questo ho detto che a me Process Guard m ha salvato ,perchè mi ha chiesto se lasciare Drwatson terminare rundll32.exe.Se avessi detto di sì,mi avrebbe riavviato anche a me,ma ho detto di no,perchè chiaramente rundll32.exe non ha nessun motivo di essere terminato mentre tu stai tranquillo in windows a navigare.

Ciao,

ho fatto tutte le prove del caso. Ho salvato tutte quelle WMF di test in una cartella (dopo aver disattivato tutto, antivirus e antispy) ed effettivamente si blocca il pc ed appare il famigerato count down. Niente paura, riavviate e e cancellateli col tasto destro, non sono pericolosi :p

Cautela comunque... prima di provare salvate i lavori aperti ;)

Ah,mi pareva strano ,perchè il tizio col sito è white hat,non black :D

Infatti,l' exploit normale,non ti riavvia il PC.Ti scarica un dropper che ti installa un bel trojan e non mi ricordo che altri programmini.In teoria è a scelta dello scrittore del virus.
Lui,essendo white hat,ha preferito di farti solo un riavvio,solo per mostrarti di cosa è capace.


Chiaro. ;)

E il pericolo di questa falla è uno dei più grossi degli ultimi anni,perchè può affliggere tutte le versioni di Windows (perfino Vista) e tutti i Browser.Perchè in realtà il problema è nella gestione dei file .wmf che godono un po' troppa libertà.

E un "zero day vulnerability".Possono continuare ad uscire varianti nuove in formati diversi e gli antivirus saranno sempre un passo indietro.Nella finestra di tempo che hanno a loro disposizione,i "cattivi" possono far infettare davvero tanta gente.Anche siti teoricamente sicuri,se hackati,si possono infettare,per non parlare di mail e p2p.

In Microsoft we trust! Prima esce con un update,meglio è.Infatti io di solito non ho Process Guard.L ho messo da quando ho letto come funziona questa vulnerabilità e mi sa che non lo tolgo più.

Per la storia,i programmi che finora ho letto che sono in grado di prevenire qualsiasi delle ATTUALI varianti(anche prima che gli antivirus li mettessero nelle loro definizioni),sono:

-Process Guard (anche il Free)
-WinSonar
-Anti-Executable

Probabilmente anche PrevX e Abtrusion Protector,visto che lavorano con la stessa filosofia ma non ho verificato ancora.

http://www.ilsoftware.it/indicenews.asp#2815

· Vulnerabilità WMF: rischi sempre maggiori. Le possibili soluzioni.

di Michele Nasi · lunedì 2 gennaio 2006

Trascorrono i giorni ed il problema diventa sempre più critico. La vulnerabilità di sicurezza, inizialmente confermata solo su sistemi Windows XP e Windows Server 2003, interessa però - a livelli diversi - tutte le versioni di Windows e riguarda la gestione dei file in formato WMF (Windows Metafile), sempre più bersaglio di pericolosi exploit.
Il codice di molti exploit è stato reso pubblico sul web facilitando così enormemente lo sviluppo di innumerevoli malware. L'ultima novità, ad esempio, è la diffusione di un worm che sfrutta proprio la vulnerabilità WMF di Windows: si diffonde attraverso la posta elettronica utilizzando l'oggetto "Happy New Year" (nel corpo del messaggio si legge il testo "Picture of 2006"). In allegato è posta una "falsa" immagine JPG (in realtà si tratta di un file WMF).
Non appena il file HappyNewYear.jpg allegato all'e-mail virale viene aperto oppure, in qualche modo, gestito dalla shell di Windows (od indicizzato, ad esempio, da Google Desktop), viene sfruttata la falla WMF per scaricare una backdoor da Internet (Bifrose) che espone il sistema a razzie dall'esterno da parte di aggressori remoti.
La notizia è stata pubblicata sul blog di F-Secure che ha immediatamente battezzato la nuova minaccia come PFV-Exploit.D. Trend Micro, ad esempio, ha optato invece per il nome TROJ_NASCENE.H.
Frattanto, nell'attesa che venga rilasciata una patch ufficiale da parte di Microsoft, vengono proposte alcune possibili soluzioni temporanee per il problema. L'Internet Storm Center (isc.sans.org) consiglia l'utilizzo della patch (scaricabile da qui) realizzata da Ilfak Guilfanov (programmatore celebre per aver sviluppato software per decompilare applicazioni, effettuare analisi sul codice binario, hex editing,...). Una volta installata, la patch di Guilfanov fa leva sulla funzione SetAbort(), considerata come causa principale del problema. Successivamente, ISC suggerisce di annullare la registrazione della libreria SHIMGVW.DLL utilizzando il comando regsvr32 /u %windir%\system32\shimgvw.dll
Non appena Microsoft rilascerà una patch correttiva, prima di applicarla è caldamente consigliato provvedere alla disinstallazione dell'"hot fix" di Guilfanov ed alla registrazione della libreria SHIMGVW.DLL (comando regsvr32 %windir%\system32\shimgvw.dll).
Va ricordato che i file WMF dannosi non debbono avere necessariamente estensione .WMF ma possono presentarsi, ad esempio, come nel caso del worm citato in precedenza, come JPG. Il file viene infatti interpretato come WMF da parte di Windows grazie all'intestazione ("header") posta al suo interno.
La vulnerabilità relativa ai file WMF ha le sue radici nel passato. Quando venne concepito il formato Windows Metafile, nel corso degli anni '80, venne inserita una funzionalità che permetteva di inserire del codice all'interno dei file d'immagine. Questo codice veniva eseguito attraverso l'uso di una funzionalità "callback" in certe situazioni. Non un bug quindi ma qualcosa che, a quei tempi, risultava necessario. La funzione ora incriminata si chiama Escape() ed, in particolar modo, la sottofunzione SetAbortProc. La documentazione Microsoft riporta come questa sia stata sviluppata per annullare un processo di stampa durante l'operazione di "spooling" (ved. questa pagina). Ciò implica essenzialmente due aspetti: potrebbero esserci altre funzioni vulnerabili oltre a SetAbortProc e la vulnerabilità dovrebbe affliggere tutte le versioni di Windows (dalla 3.0 commercializzata a partire dal 1990).

http://www.f-secure.com/weblog/archives/archive-012006.html#00000762

Mi è capitato 3/4 volte negli ultimi giorni, su certi siti un po'.... :D che Firefox, all'apertura della pagina mi dia un messaggio tipo "si è deciso di scaricare un file tipo wmf.." e mi chieda se salvarlo o aprirlo. Ovviamente NON avevo chiesto di scaricarlo né aprirlo e quindi, parecchio insospettito, ho chiuso la finestra; credo proprio che si tratti della schifezza di cui sopra. Grazie a Firefox che mi ha avvertito e mi ha permesso di stroncare alla nascita 'sta nuova me*da.

nod32 blocca tranquillamente gh

Ciao,

su segnalazione di bigbeat: http://www.hwupgrade.it/forum/showthread.php?t=1101792

Riporto qui per comodità le news di Microsoft Technet sul bug e data presunto rilascio patch WMF:

http://www.microsoft.com/technet/security/advisory/912840.mspx

però da kaspersky.com non scaricava la patch ieri...

Rilasciata Pach non ufficiale
clicca qui... (http://www.wintricks.it/news1/article.php?ID=4414)

Mi è capitato 3/4 volte negli ultimi giorni, su certi siti un po'.... che Firefox, all'apertura della pagina mi dia un messaggio tipo "si è deciso di scaricare un file tipo wmf.." e mi chieda se salvarlo o aprirlo. Ovviamente NON avevo chiesto di scaricarlo né aprirlo e quindi, parecchio insospettito, ho chiuso la finestra; credo proprio che si tratti della schifezza di cui sopra. Grazie a Firefox che mi ha avvertito e mi ha permesso di stroncare alla nascita 'sta nuova me*da.
anche io!!!! :D :cool:
uso Tb per la posta, mi da l'anteprima dei messaggi ma no mi scarica le immagini, avrò qualche problema se il virus gira via email?????

Ormai tutti gli av dovrebbero fermare i files del sito test,visto che sono vecchiotti.

Ora è fuori la versione 1.14 del codice maligno,questi exploit sono fatti con il nuovo:

PRECAUZIONE : Potrebbe essere impossibile eliminare la cartella coi files una volta scompattati,senza riavviare Win.

http://testing.onlytherightanswers.com/wmfexploit.zip

NON INFETTANO veramente.Tenteranno di lanciare il Blocco Note di Windows (controllare task manager) solo a titolo dimostrativo del potenziale.Contiene l' exploit in questi formati:

notepad.bmp
notepad.gif
notepad.jpeg
notepad.jpg
notepad.png
notepad.tiff
notepad.wmf

A me AVG è fallito miseramente ancora una volta,appena ho scompattato lo zip mi ha salvato PG che mi ha chiesto se aprire il blocco Note...AntiVir ed Ewido on demand non vedonon niente anche loro.Speriamo escano presto le definizioni aggiornate.

Buon divertimento!

Mi è capitato 3/4 volte negli ultimi giorni, su certi siti un po'.... :D che Firefox, all'apertura della pagina mi dia un messaggio tipo "si è deciso di scaricare un file tipo wmf.." e mi chieda se salvarlo o aprirlo. Ovviamente NON avevo chiesto di scaricarlo né aprirlo e quindi, parecchio insospettito, ho chiuso la finestra; credo proprio che si tratti della schifezza di cui sopra. Grazie a Firefox che mi ha avvertito e mi ha permesso di stroncare alla nascita 'sta nuova me*da.

Anche Opera ti avverte in anticipo :)

Anche Opera ti avverte in anticipo :)


ke nostalgia mi fa venire il tuo avatar :( ci son cresciuto con monkey ;)

ke nostalgia mi fa venire il tuo avatar :( ci son cresciuto con monkey ;)


;)

Gli av si stanno muovendo per coprire la nuova versione.Risultati dello zip da jotti's:

AntiVir Found nothing
ArcaVir Found nothing
Avast Found WMF Exploit
AVG Antivirus Found nothing
BitDefender Found Exploit.Win32.WMF-PFV
ClamAV Found Exploit.WMF.Gen-3
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus
Found Exploit.Win32.IMG-WMF (probable variant)
NOD32 Found probably a variant of Win32/Exploit.WMF (probable variant)
Norman Virus Control Found W32/Exploit.Gen
UNA Found nothing
VBA32 Found Exploit.WMF

Gli av si stanno muovendo per coprire la nuova versione.Risultati dello zip da jotti's:

AntiVir Found nothing
ArcaVir Found nothing
Avast Found WMF Exploit
AVG Antivirus Found nothing
BitDefender Found Exploit.Win32.WMF-PFV
ClamAV Found Exploit.WMF.Gen-3
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus
Found Exploit.Win32.IMG-WMF (probable variant)
NOD32 Found probably a variant of Win32/Exploit.WMF (probable variant)
Norman Virus Control Found W32/Exploit.Gen
UNA Found nothing
VBA32 Found Exploit.WMF


Anche Etrust lo rileva, invece Antivir continua a non rilevarlo...andrebbe fatta una segnalazione allo staff di Antivir...

Versione 1.16 del codice maligno uscita.Nuovo test file:

http://testing.onlytherightanswers.com/sys32.zip

AVVISO:
Per non complicare le cose,se esce un messaggio che chiede di creare un file di testo ,dite pure no.L' exploit ha già avuto successo (verificare task manager per vedere che notepad.exe è stato lanciato).In caso che uno dice no,nella cartella documents and settings/nome user si crea un file di testo vuoto che si può eliminare manualmente.E probabile che ci vorrà un riavvio del PC per eliminare la cartella dei files dal desktop.


E qui si vede di nuovo lo stesso pattern fra i vari antivirus:

File: sys32.zip
Status:
INFECTED/MALWARE
MD5 a430ebd724ce3c860f56182241000c2f
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Exploit.Win32.WMF-PFV
ClamAV
Found Exploit.WMF.Gen-3
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found Exploit.Win32.IMG-WMF (probable variant)
NOD32
Found probably a variant of Win32/Exploit.WMF (probable variant)
Norman Virus Control
Found W32/Exploit.Gen
UNA
Found nothing
VBA32
Found Exploit.WMF


Si vede che i "cattivi" non fanno il ponte lungo ,mentre alcuni produttori antivirus sì.Il mio AVG mi fa quasi pena.Ancora non riconosce la 1.14...

Adesso oltre al visualizzatore di immagini di windows, sembra che sia vulnerabile anche irfanview.

Se ricevete questo avviso
http://img419.imageshack.us/img419/7388/irfanwmf2pa13ny.gif
non siete ancora infetti... senza cliccare si o no andate nel task manager e terminate il processo i_view32.exe

attenti a me via messenger me ne stanno arrivando a fiumi di sti file del cavolo e norton non li rileva :muro:

Adesso oltre al visualizzatore di immagini di windows, sembra che sia vulnerabile anche irfanview.

Sì,hai ragione.Perchè non si tratta di vulnerabilità del visualizzatore immagini-fax,me del modo con il quale Win gestisce i file .wmf.

norton non li rileva

Con la reputazione che ha Norton,li respinge solo col suo nome.Appena gli exploit vedono che è installato Norton,scappano via urlando "noooo,il norton noooo"! :rotfl:

Norton non rileva nemmeno la 1.16.Ho visto uno scan da virustotal (anche se usa versione vecchia di Norton).

Insomma,mi consola il fatto che almeno io l' AVG non l' ho pagato 60 Euro :)

Finalmente Microsoft rilascia la pach ufficiale!!!
Per Windows XP Clicca qui... (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=0C1B4C96-57AE-499E-B89B-215B7BB4D8E9)
Per Windows 2000 Clicca qui... (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=AA9E27BD-CB9A-4EF1-92A3-00FFE7B2AC74)
Per Windows X64 Clicca qui... (http://www.microsoft.com/downloads/details.aspx?familyid=3A1166E6-5E9E-4E73-BCD4-28ECA6ECE877&displaylang=en)
Per Windows 2003 - 2003 Server Clicca qui... (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=1584AAE0-51CE-47D6-9A03-DB5B9077F1F2)

Perfetto...l'ho scaricata da Windows Update.
Ciao ;)

installata e testata con i file test: il visualizzatore immagini dice anteprima non disponibile e il notepad non si apre più :cool: :)

Ho provato adesso per curiosità il test dell'1.16... nod lo blocca, scarica il file zippato con Opera al 100% lo analizza e fa terminare l'operazione, Opera da Error :sofico:

ho la patch, ho provato a salvare con nome l'immagine la prima quella con la gallina, me la apre senza nessun problema, va bene o non lo deve aprire?

Ormai tutti gli av dovrebbero fermare i files del sito test,visto che sono vecchiotti.

Ora è fuori la versione 1.14 del codice maligno,questi exploit sono fatti con il nuovo:

PRECAUZIONE : Potrebbe essere impossibile eliminare la cartella coi files una volta scompattati,senza riavviare Win.

http://testing.onlytherightanswers.com/wmfexploit.zip

NON INFETTANO veramente.Tenteranno di lanciare il Blocco Note di Windows (controllare task manager) solo a titolo dimostrativo del potenziale.Contiene l' exploit in questi formati:

notepad.bmp
notepad.gif
notepad.jpeg
notepad.jpg
notepad.png
notepad.tiff
notepad.wmf

A me AVG è fallito miseramente ancora una volta,appena ho scompattato lo zip mi ha salvato PG che mi ha chiesto se aprire il blocco Note...AntiVir ed Ewido on demand non vedonon niente anche loro.Speriamo escano presto le definizioni aggiornate.

Buon divertimento!

AVK con il controllo web attivo non ti da la possibilita' di scaricare: pagina rossa con scritto Rilevato Virus.
Grande AVK

Giusto per precisare,una volta messa la patch,i test non funzionato più e non ha nemmeno senso provare l' antivirus su vecchie versioni.Ora per fino AVG trova l' exploit dello zip. :D
Importava invece vedere quale av vedeva l' exploit quando esso era "fresco" (ieri era fuori la 1.17 ma non ha senso postarla ormai).Per esempio AVG non vedeva l' 1.14 mentre era già uscito l' 1.16.Ora lo vede,ma è tardi.La finestra di vulnerabilità per chi aveva AVG c'è stata eccome.

non funzionano + con la patch è vero ma è giusto che me le apra?

Sì,non ti preoccupare.

ho la patch, ho provato a salvare con nome l'immagine la prima quella con la gallina, me la apre senza nessun problema, va bene o non lo deve aprire?

la prima è normale che si apra...c'è scritto genuine image ;)

Raga ho Xp con SP2, posso installare la patch senza problemi o poi va' a creare altri macelli ?(Microsoft docet).

Riporto anche qui per comodità di consultazione: http://www.hwupgrade.it/news/sicurezza/16119.html

Riporto anche qui per comodità di consultazione: http://www.hwupgrade.it/news/sicurezza/16119.html

Meno male che ormai uso quasi esclusivamente linux..... :D

http://img389.imageshack.us/img389/2589/2362316en.jpg (http://imageshack.us)

Ciao,

"forse" la famigerata falla ha creato una vittima tra i miei conoscenti:
hanno scaricato una copertina (credo jpg) con emule, dopo aver visualizzato l'anteprima si è impallato il computer. Una volta riavviato il pc, windows ha fatto un "controllo di coerenza" sulla partizione "D" (partizione dati) rilevando errori sulla MFT apparentemente corretti. Il computer in seguito ha funzionato correttamente per un paio d'ore, fino allo spegnimento. Al successivo riavvio, la mattina dopo si sono ritrovati con il disco "D" rilevato con partizione RAW :eek: :cry: :muro:
Le partizioni C: (sistema) ed E: (file temporanei e pagefile.sys) non avrebbero subito danni.

Non ho molti elementi di valutazione, non ho visto il pc... so che non avevano ancora scaricato la patch di Microsoft e come sicurezza usano avast + Spybot + firewall XP. Domani mi portano il disco da controllare :p

Kaspersky Internet Security 6.0 Beta

The requested URL http://multitudious.com/meta2.wmf is infected with Exploit.Win32.IMG-WMF.e virus

>Come mai con Firefox e con la patch installata se vado alla pagina del test
>ugualmente interviene l'antivirus?
>
>Grazie

Come mai con Firefox e con la patch installata se vado alla pagina del test ugualmente interviene l'antivirus?

Perchè il sito è infettato...E normale.

Ah,per la cronaca,Steve Gibson (noto da anni per il suo sito e Shields up test),sostiene che la vulnerabilità Wmf ha le caratteristiche di una backdoor di Microsoft e non di una falla casuale.Uno degli argomenti è che la patch in pratica toglie una funzione e niente smette di funzionare.Cmq,è una storia lunga,troppo paranoidea per i miei gusti,ma per chi vuole leggere,ecco il link.

http://www.grc.com/sn/SN-022.htm

Perchè il sito è infettato...E normale.


..non è normale che si possa mettere un virus in un sito in modo cosi semplice , e anormale ne convieni con me?

.non è normale che si possa mettere un virus in un sito in modo cosi semplice , e anormale ne convieni con me?

Io ho detto che è normale il fatto che il tuo antivirus scatta,perchè anche se te sei immune ,vai comunque a un sito infettato e quindi l' antivirus vede il malware e scatta.Poi non so se ho capito bene,ma intendi dire che dovrebbe essere più difficile mettere l' exploit in una pagina?Il sito "semplice" non c'entra niente.La pagina è stata messa apposta per mostrare l' exploit e parole del suo creatore(ZOverlord),fare varianti dell' exploit è un' operazione molto facile e veloce.Poi se pensi che l' exploit può essere confezionato in una jpeg,png etc,non vedo perchè sarebbe difficile metterlo su una pagina "semplice".Guarda la home page del sito...Il sito esiste per questa ragione...

If you are a Black Grey or White Hat and wish to help others learn about major software and hardware security issues or just would like to learn about some of the current flaws which could impact you or your company this is the place to be.

We believe this is the first REAL effort to Unite All color Hats to one site in order to share first hand knowledge and examples of just what exploits are possible, now, or in the near future.

http://testing.onlytherightanswers.com/

Io ho detto che è normale il fatto che il tuo antivirus scatta,perchè anche se te sei immune ,vai comunque a un sito infettato e quindi l' antivirus vede il malware e scatta.Poi non so se ho capito bene,ma intendi dire che dovrebbe essere più difficile mettere l' exploit in una pagina?Il sito "semplice" non c'entra niente.La pagina è stata messa apposta per mostrare l' exploit e parole del suo creatore(ZOverlord),fare varianti dell' exploit è un' operazione molto facile e veloce.Poi se pensi che l' exploit può essere confezionato in una jpeg,png etc,non vedo perchè sarebbe difficile metterlo su una pagina "semplice".Guarda la home page del sito...Il sito esiste per questa ragione...

If you are a Black Grey or White Hat and wish to help others learn about major software and hardware security issues or just would like to learn about some of the current flaws which could impact you or your company this is the place to be.

We believe this is the first REAL effort to Unite All color Hats to one site in order to share first hand knowledge and examples of just what exploits are possible, now, or in the near future.

http://testing.onlytherightanswers.com/

Il tutto :D era provocatorio, ed ero sarcastico, era un richiamo al creatore dellla tecnologia così fortemente buggata. :O

:D

Ah,scusami allora.Non l ho capito.Infatti è stata una falla grossa per una funzione "dimenticata" fatta molti anni fa e per questo ora scattano le teorie di complotto (da Gibson) che cioè era una backdoor fatta da Microsoft per l' FBI ,così da poter entrare in tutti i PC con windows almeno dal 2000 in poi.

E vedo che ZOverlord sposa anche lui questa tesi...Onestamente come backdoor mi sembra non sia il massimo dell' utilità,anche se ho letto un analisi fatta che va troppo sul tecnico e non riesco a seguirla.Cmq,ZOverlord fa un riassunto più facile da leggere di quello che dice Gibson:

Is The .WMF Exploit A ConsPiracy Gone Bad?

PHP-NukeHere is my take on this.

1. This Auto-Magical self-install Microsoft patch for this is an urban legend.

2. That with enough investigation, by the right parties, it can or will be proven that Microsoft has created this for the FEDS! much like some PRINTERS have embedded serial numbers in their image output ("Which we also did not know about at first").

3. IF this causes a full blown extensive investigation, and the TRUTH is allowed to come out, I think the outrage will be something not seen in this country ever before.

4. This ("Back Door") can/could be invoked via Email, HTML email, or via an email attachment, or even an IMAGE in a IM session, such as for example in Yahoo Messenger, where one is allowed to have a PHOTO of yourself ("A Drive-By Method of Installation") so when it was said in the Pod Cast that there would be a requirement to VISIT a web site this is not true.

If the proper investigation is done about this, IMHO, I think it can EASILY be proven that Federal Agencies have in fact USED this method ("A few MORE current and in-place back doors will be publicly admitted too as well") with and without the required paperwork, and that Microsoft actually provided instructions as to the use of these back doors to said agencies.

It CANNOT be accidental the the WRONG VALUE invokes code, which has NO way to communicate ("Easily") with the source that launched it, accidentally ("Note: while it also is being listed in Microsoft Documentation as LEGACY code") is carried even to Windows Vista. Even if somehow like in DNA, this was a one-in-ten-billion accident, it does NOT explain why this documented LEGACY code was carried over to Windows Vista, and MORE importantly this:

That WHEN Microsoft REMOVED this FUNCTIONALITY COMPLETELY from the Operating System, no Microsoft Product or application, no 3rd party code or application, no major client's or customers were impacted in ANY way!

If the INTENT of the SETABORTPROC parameter using the Escape procedure WAS to help with Printer failure logic? Where's the PAPER JAM?

So, is this the LEAST used LEGACY function accidentally carried from OS to OS since Windows 2000 which happens to be capable to LAUNCH and execute code remotely using ONLY the WRONG pa-rams ("Oh by the way, only if the WRONG value equals ONE, any other WRONG value, won't work") and the executed code within the wmf file cannot access ("easily") its own CONTEXT ("No need for that if the purpose is to deliver a stand-alone payload")?

The question then becomes, IF IT WAS SO IMPORTANT TO CARRY THIS LEGACY CODE EVEN TO WINDOWS VISTA..........

WHO WAS USING IT? ;-)


Before You Say I am CRAZY you may wish to listen to or read the Steve Gibson's Pod Cast here:

Click Here For an Interesting Audio Research Interview

Click Here For a Written Transcript of the Interview

Ah,scusami allora.Non l ho capito.Infatti è stata una falla grossa per una funzione "dimenticata" fatta molti anni fa e per questo ora scattano le teorie di complotto (da Gibson) che cioè era una backdoor fatta da Microsoft per l' FBI ,così da poter entrare in tutti i PC con windows almeno dal 2000 in poi.

E vedo che ZOverlord sposa anche lui questa tesi...Onestamente come backdoor mi sembra non sia il massimo dell' utilità,anche se ho letto un analisi fatta che va troppo sul tecnico e non riesco a seguirla.Cmq,ZOverlord fa un riassunto più facile da leggere di quello che dice Gibson:

Is The .WMF Exploit A ConsPiracy Gone Bad?

PHP-NukeHere is my take on this.

1. This Auto-Magical self-install Microsoft patch for this is an urban legend.

2. That with enough investigation, by the right parties, it can or will be proven that Microsoft has created this for the FEDS! much like some PRINTERS have embedded serial numbers in their image output ("Which we also did not know about at first").

3. IF this causes a full blown extensive investigation, and the TRUTH is allowed to come out, I think the outrage will be something not seen in this country ever before.

4. This ("Back Door") can/could be invoked via Email, HTML email, or via an email attachment, or even an IMAGE in a IM session, such as for example in Yahoo Messenger, where one is allowed to have a PHOTO of yourself ("A Drive-By Method of Installation") so when it was said in the Pod Cast that there would be a requirement to VISIT a web site this is not true.

If the proper investigation is done about this, IMHO, I think it can EASILY be proven that Federal Agencies have in fact USED this method ("A few MORE current and in-place back doors will be publicly admitted too as well") with and without the required paperwork, and that Microsoft actually provided instructions as to the use of these back doors to said agencies.

It CANNOT be accidental the the WRONG VALUE invokes code, which has NO way to communicate ("Easily") with the source that launched it, accidentally ("Note: while it also is being listed in Microsoft Documentation as LEGACY code") is carried even to Windows Vista. Even if somehow like in DNA, this was a one-in-ten-billion accident, it does NOT explain why this documented LEGACY code was carried over to Windows Vista, and MORE importantly this:

That WHEN Microsoft REMOVED this FUNCTIONALITY COMPLETELY from the Operating System, no Microsoft Product or application, no 3rd party code or application, no major client's or customers were impacted in ANY way!

If the INTENT of the SETABORTPROC parameter using the Escape procedure WAS to help with Printer failure logic? Where's the PAPER JAM?

So, is this the LEAST used LEGACY function accidentally carried from OS to OS since Windows 2000 which happens to be capable to LAUNCH and execute code remotely using ONLY the WRONG pa-rams ("Oh by the way, only if the WRONG value equals ONE, any other WRONG value, won't work") and the executed code within the wmf file cannot access ("easily") its own CONTEXT ("No need for that if the purpose is to deliver a stand-alone payload")?

The question then becomes, IF IT WAS SO IMPORTANT TO CARRY THIS LEGACY CODE EVEN TO WINDOWS VISTA..........

WHO WAS USING IT? ;-)


Before You Say I am CRAZY you may wish to listen to or read the Steve Gibson's Pod Cast here:

Click Here For an Interesting Audio Research Interview

Click Here For a Written Transcript of the Interview


Sai cosa significano queste dichiarazioni? e cosa potrebbero causare? e più che altri quelli che le dicono sanno cosa rischiano?
:D

Non rischiano altro che essere targati come paranoici.Tanto non esiste prova.Anche se teoricamente avessero ragione,è meglio lasciarli "abbaiare" senza prove come pazzi...

Cmq,per me esagerano.Se uno voleva mettere una backdoor su Windows,farebbe meglio mettere una che è sempre attiva senza bisogno di altri programmi (tipo un servizio windows e che magari ha pure accesso internet) e che sia utilizzabile solo dai "nostri".La wmf invece ,potrebbe essere scoperta per caso da chiunque (come è stato per altre vulnerabilità) e quindi essere usata anche contro i "nostri".Adoro Shields up e il sito di Gibson è stato il primo che mi ha introdotto nel concetto della sicurezza internet,ma questa proprio non mi convince.

mi piace molto la tua valutazione, e condivido tutto quello che hai detto. Alla fine se vogliono(volessero) controllarci possono usare altri 100 sistemi inindividuabili. :D

Mi è capitato 3/4 volte negli ultimi giorni, su certi siti un po'.... :D che Firefox, all'apertura della pagina mi dia un messaggio tipo "si è deciso di scaricare un file tipo wmf.." e mi chieda se salvarlo o aprirlo. Ovviamente NON avevo chiesto di scaricarlo né aprirlo e quindi, parecchio insospettito, ho chiuso la finestra; credo proprio che si tratti della schifezza di cui sopra. Grazie a Firefox che mi ha avvertito e mi ha permesso di stroncare alla nascita 'sta nuova me*da.

Io addirittura stavo cercando un sito (legaltorrent) di cui non ricordavo il nome e allora ho digitato nella barra di firefox torrentfree ...
Meno mel che ho il sistema aggiornato ed è partito subito l'antivirus...

provare per credere

Ah era un sito Porn

Non rischiano altro che essere targati come paranoici.Tanto non esiste prova.Anche se teoricamente avessero ragione,è meglio lasciarli "abbaiare" senza prove come pazzi...

Cmq,per me esagerano.Se uno voleva mettere una backdoor su Windows,farebbe meglio mettere una che è sempre attiva senza bisogno di altri programmi (tipo un servizio windows e che magari ha pure accesso internet) e che sia utilizzabile solo dai "nostri".La wmf invece ,potrebbe essere scoperta per caso da chiunque (come è stato per altre vulnerabilità) e quindi essere usata anche contro i "nostri".Adoro Shields up e il sito di Gibson è stato il primo che mi ha introdotto nel concetto della sicurezza internet,ma questa proprio non mi convince.


Non sono daccordo, se volevano rimanere innocenti e' proprio cosi che dovevano agire. Vengo a sapere ora di questo: Microsoft: Windows, WMF e storie di spionaggio mondiale (http://www.hwupgrade.it/news/sicurezza/16179.html)
Apparte il titolo che mi pare un po' esagerato,la faccenda mi pare anche troppo sminuita. Mi rendo conto che sarebbe assurdo criticare la ms per una bug lasciato incorretto, ma qui' qualcuno ha specificato che il bug e' premeditato, il discorso cambia, non ti pare.
Cmq non sono riuscito a capire se ce' una patch ufficiale o se bisogna cmq unreggistrare shimgvw.
ciao



____
Kars2

Io addirittura stavo cercando un sito (legaltorrent) di cui non ricordavo il nome e allora ho digitato nella barra di firefox torrentfree ...
Meno mel che ho il sistema aggiornato ed è partito subito l'antivirus...

provare per credere

Ah era un sito Porn

niente da fare.... non mi fa nulla.... è un bene o un male?

Non sono daccordo, se volevano rimanere innocenti e' proprio cosi che dovevano agire. Vengo a sapere ora di questo: Microsoft: Windows, WMF e storie di spionaggio mondiale (http://www.hwupgrade.it/news/sicurezza/16179.html)
Apparte il titolo che mi pare un po' esagerato,la faccenda mi pare anche troppo sminuita. Mi rendo conto che sarebbe assurdo criticare la ms per una bug lasciato incorretto, ma qui' qualcuno ha specificato che il bug e' premeditato, il discorso cambia, non ti pare.
Cmq non sono riuscito a capire se ce' una patch ufficiale o se bisogna cmq unreggistrare shimgvw.
ciao



____
Kars2


Noi non sapremo mai la verità.
Facile dire che è premeditato.

Io mi sento di dire ne true ne false

Con norton antivirus 2004 appena si e' aperta la pagina del link mi ha detto della presenza del virus.
ciao

Anche il mio Mcafee ha risposto adeguatamente...

Per me Gibson esagera,non è la prima falla di Windows che lascia eseguire codice,però questa gli è piaciuta molto probabilmente perchè è una falla che Windows si porta dietro da sempre.Evidentemente nessun si ha dato il disturbo di controllare un codice che "tanto esisteva già nel nostro windows precedente".

A parte Kaspersky labs ,chiamato in questione che esprime l' opinione che è stato un bug:

http://www.hwupgrade.it/news/sicurezza/16179.html

Ecco anche il parere ri Russinovich (il tizio che ha scoperto il rootkit della Sony):

www.sysinternals.com/Blog/

Inside the WMF Backdoor
Steve Gibson (of SpinRite fame) proposed a theory in his weekly Thursday-night podcast last week that if true, would be the biggest scandal to ever hit Microsoft - that the Windows Metafile (WMF) vulnerability that drew so much media attention last month is actually a backdoor programmed intentionally by Microsoft for unknown reasons. Slashdot picked up the story the next day and I received a flood of emails asking me to look into it. I finished my analysis, which Steve aided by sending me the source code to his WMF-vulnerability tester program (KnockKnock), over the weekend. In my opinion the backdoor is one caused by a security flaw and not one made for subterfuge. I sent my findings to both Steve and to Microsoft Monday morning, but because the issue continues to draw media attention I’ve decided to publicly document my investigation......



Continuo a pensare che MS volesse (o ha già) mettere una backdoor intenzionale ,ci sono metodi molto più sicuri per occultarla e processi molto più facili da usare.

Come ho scritto prima,alcune considerazioni su questa falla:

1)Esiste per tutti i Windows ,ma solo XP è direttamente vulnerabile.Questo perchè richiede un programma che sia capace di aprire i file wmf visualizzati sul browser e che solo XP ha di "mamma sua" e cioè il visualizzatore immagini e fax.Quindi automaticamente,la backdoor perde una sua caratteristica ,dell' universalità.

2)Richiede un' applicazione per lanciare il wmf.Non il massimo per una backdoor e che per di più vuole passare inosservata.

3)Può essere scoperta e sfruttata da chiunque,come del resto è stata scoperta (e quindi in teoria che l' ipotetico FBI potrebbe diventare vittima.Sarebbe molto più logico usare una backdoor con una forma di autenticazione).

4)I file wmf non sono comuni.

5)La vittima dovrebbe andare a un sito specifico infetto o aprire una mail infetta per attivare la backdoor.Di nuovo,mi pare un po' troppo penosa per una backdoor.

6)La backdoor può essere tradita se uno usa Firefox,il quale ti chiede se aprire il file o no quando visiti un sito.Qui mi pare ancora più penosa.

7)La backdoor non funzionerà se l' utente naviga come user e non come administrator.

Insomma,questa backdoor dipende da troppi fattori per funzionare con 100% successo e passare inosservata dall' utente.

Ciao,

ottima segnalazione, così ho potuto collaudare la patch di KAV ;)



http://www.webalice.it/wgator/temp/wmfexploit.jpg


quale patch di kav?non sapevo che aveva rilasciato la patch.dove si può trovare? o la scarica da sola con gli aggiornamenti automatici?