Sito con test che controlla la vulnerabilità .wmf

[Faethon]

ATTENZIONE: I test del sito possono far scattare l' antivirus,e se hanno successo,possono riavviare o bloccare il PC.Non causa vera infezione.I file sono solo dimostrativi del potenziale della vulnerabilità.I file si possono eliminare anche manualmente e riavviando tutto va bene.

http://multitudious.com/test.html

Io ho provato sia con Firefox che con IE.Con Firefox era molto meglio,ti avvisa se vuoi aprire il file,e anche se ho accettato il mio WMP9 dava solo errore e rifiutava di eseguire.

Con IE mi ha salvato Process Guard e si vede che uno lo deve evitare come la peste,perchè in più istanze ha bloccato drwatson dal terminare rundll32.exe

[wgator]

Ciao,

ottima segnalazione, così ho potuto collaudare la patch di KAV

[Faethon]

Eh,già,il buon KAV non scherza e la qualità si vede.Al contrario il mio AVG non vede nulla di strano in quel sito(non che mi meraviglio,l' ho messo perchè leggero non perchè il migliore ).Ewido d' altra parte ,on demand,mi ha visto il codice maligno nel Internet temp di IE.

Cmq,questa falla è grossa e rischia di diventarlo ancora di più.Il tizio del sito già ha fatto varianti con jpeg,gif ed è possibile farlo con avi,pic e più ne hai più ne metti.Esiste la patch non ufficiale,ma speriamo che mamma Microsoft si svegli e dia una patch vera ,prima che si infettino molti.

[wgator]

Ciao,

se mi permettete, lascierei in evidenza per qualche giorno, almeno finchè non escono rimedi ufficiali su Microsoft Windows Update, così tutti possiamo collaudare il funzionamento delle varie patch provvisorie che si trovano in rete

Per chi non ricordasse di cosa si tratta: http://secunia.com/advisories/18255/

[Faethon]

Ottima idea.E un opportunità sia di informarsi della falla sia di testare le difese.E di avere in mente che purtroppo escono molte varianti non tutte subito riconosciute dagli antivirus e quindi ci vuole la massima cautela.Basta visitare un sito infetto e ti può fregare.

[feo84]

1-Allora...il WMF viene bloccato da ANTIVIR sia con Firefox sia con IE.

2-Con Firefox le immagini non le visualizza, da questo messaggio:
L'immagine “http://multitudious.com/test-1.gif” non può essere visualizzata poiché contiene degli errori.

3-Invece con IE le immagini vengono segnalate come virus dal mio Antivir.


Sapete dirmi se è un male il punto 2? Direi di no..
Ciao ciao

[Faethon]

Qui si può seguire l' evoluzione della situazione.Oggi per esempio nuova variante in Korea e stavolta hanno cominciato a mandarli con la posta,quindi non più solo siti infetti.

http://www.f-secure.com/weblog/

[Faethon]

Quote:

Sapete dirmi se è un male il punto 2? Direi di no..

No,non è male,anzi.Purtroppo,dove cè virus e spyware,IE funziona SEMPRE

[feo84]

Ragazzi!!
Problemone!!!

Ho preso il file "meta2.wmf"...Me l'ha salvato nei documenti...ora se entro mi spegne il PC!!!

Come diavolo lo rimuovo di li?
Ma porca miseria..ok, sono vulnerabile, però non poteva darti solo il messaggio senza arrestare il sitema?

Aiutatemi plz...

[wgator]

Ciao,

Ho provato a dare in pasto una di quelle wmf a "virustotal" Sembra che siano corsi ai ripari un parecchi

This is a report processed by VirusTotal on 01/02/2006 at 17:56:22 (CET) after scanning the file "test-1.wmf" file.
Antivirus Version Update Result
AntiVir 6.33.0.70 01.02.2006 EXP/IMG.WMF
Avast 4.6.695.0 01.02.2006 Win32:Exdown
AVG 718 01.02.2006 Exploit.WMF
Avira 6.33.0.70 01.02.2006 EXP/IMG.WMF
BitDefender 7.2 01.01.2006 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 01.02.2006 WMF.Exploit
ClamAV devel-20051123 01.02.2006 Exploit.WMF.A
DrWeb 4.33 01.02.2006 no virus found
eTrust-Iris 7.1.194.0 01.01.2006 Win32/Worfo!Trojan
eTrust-Vet 12.4.1.0 01.01.2006 Win32/Worfo
Ewido 3.5 01.02.2006 Not-A-Virus.Exploit.Win32.IMG-WMF
Fortinet 2.54.0.0 12.31.2005 W32/WMF-exploit
F-Prot 3.16c 01.01.2006 no virus found
Ikarus 0.2.59.0 01.02.2006 Exploit.Win32.IMG-WMF
Kaspersky 4.0.2.24 01.02.2006 Exploit.Win32.IMG-WMF
McAfee 4665 01.02.2006 Exploit-WMF
NOD32v2 1.1348 01.02.2006 Win32/TrojanDownloader.Wmfex
Norman 5.70.10 12.31.2006 W32/Exploit.Gen
Panda 9.0.0.4 01.02.2006 Exploit/Metafile
Sophos 4.01.0 01.02.2006 Exp/WMF-A
Symantec 8.0 01.02.2006 Bloodhound.Exploit.56
TheHacker 5.9.2.067 01.02.2006 Exploit/WMF
UNA 1.83 12.30.2005 no virus found
VBA32 3.10.5 01.01.2006 no virus found

www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail

[Faethon]

Nei documenti?Non nei file temporanei?Non capisco com'è finito da solo nei documeti.Eliminalo manualmente o con Ewido.

[feo84]

Quote:

Originariamente inviato da feo84

Ragazzi!!
Problemone!!!

Ho preso il file "meta2.wmf"...Me l'ha salvato nei documenti...ora se entro mi spegne il PC!!!

Come diavolo lo rimuovo di li?
Ma porca miseria..ok, sono vulnerabile, però non poteva darti solo il messaggio senza arrestare il sitema?

Aiutatemi plz...

Ok l'ho rimosso...
...però spiegatemi una cosa, per quale motivo deve spegnere il PC??
E come fanno a simulare un virus senza avere gli effetti negativi dello stesso?
Grazie.
Ciao

[Faethon]

Quote:

Ok l'ho rimosso......però spiegatemi una cosa, per quale motivo deve spegnere il PC??
E come fanno a simulare un virus senza avere gli effetti negativi dello stesso?
Grazie.

Ah,mi pareva strano ,perchè il tizio col sito è white hat,non black

Infatti,l' exploit normale,non ti riavvia il PC.Ti scarica un dropper che ti installa un bel trojan e non mi ricordo che altri programmini.In teoria è a scelta dello scrittore del virus.
Lui,essendo white hat,ha preferito di farti solo un riavvio,solo per mostrarti di cosa è capace.

Per questo ho detto che a me Process Guard m ha salvato ,perchè mi ha chiesto se lasciare Drwatson terminare rundll32.exe.Se avessi detto di sì,mi avrebbe riavviato anche a me,ma ho detto di no,perchè chiaramente rundll32.exe non ha nessun motivo di essere terminato mentre tu stai tranquillo in windows a navigare.

[wgator]

Ciao,

ho fatto tutte le prove del caso. Ho salvato tutte quelle WMF di test in una cartella (dopo aver disattivato tutto, antivirus e antispy) ed effettivamente si blocca il pc ed appare il famigerato count down. Niente paura, riavviate e e cancellateli col tasto destro, non sono pericolosi

Cautela comunque... prima di provare salvate i lavori aperti

[feo84]

Quote:

Originariamente inviato da Faethon

Ah,mi pareva strano ,perchè il tizio col sito è white hat,non black

Infatti,l' exploit normale,non ti riavvia il PC.Ti scarica un dropper che ti installa un bel trojan e non mi ricordo che altri programmini.In teoria è a scelta dello scrittore del virus.
Lui,essendo white hat,ha preferito di farti solo un riavvio,solo per mostrarti di cosa è capace.

Chiaro.

[Faethon]

E il pericolo di questa falla è uno dei più grossi degli ultimi anni,perchè può affliggere tutte le versioni di Windows (perfino Vista) e tutti i Browser.Perchè in realtà il problema è nella gestione dei file .wmf che godono un po' troppa libertà.

E un "zero day vulnerability".Possono continuare ad uscire varianti nuove in formati diversi e gli antivirus saranno sempre un passo indietro.Nella finestra di tempo che hanno a loro disposizione,i "cattivi" possono far infettare davvero tanta gente.Anche siti teoricamente sicuri,se hackati,si possono infettare,per non parlare di mail e p2p.

In Microsoft we trust! Prima esce con un update,meglio è.Infatti io di solito non ho Process Guard.L ho messo da quando ho letto come funziona questa vulnerabilità e mi sa che non lo tolgo più.

[Faethon]

Per la storia,i programmi che finora ho letto che sono in grado di prevenire qualsiasi delle ATTUALI varianti(anche prima che gli antivirus li mettessero nelle loro definizioni),sono:

-Process Guard (anche il Free)
-WinSonar
-Anti-Executable

Probabilmente anche PrevX e Abtrusion Protector,visto che lavorano con la stessa filosofia ma non ho verificato ancora.

[tidav]

http://www.ilsoftware.it/indicenews.asp#2815

· Vulnerabilità WMF: rischi sempre maggiori. Le possibili soluzioni.

di Michele Nasi · lunedì 2 gennaio 2006

Trascorrono i giorni ed il problema diventa sempre più critico. La vulnerabilità di sicurezza, inizialmente confermata solo su sistemi Windows XP e Windows Server 2003, interessa però - a livelli diversi - tutte le versioni di Windows e riguarda la gestione dei file in formato WMF (Windows Metafile), sempre più bersaglio di pericolosi exploit.
Il codice di molti exploit è stato reso pubblico sul web facilitando così enormemente lo sviluppo di innumerevoli malware. L'ultima novità, ad esempio, è la diffusione di un worm che sfrutta proprio la vulnerabilità WMF di Windows: si diffonde attraverso la posta elettronica utilizzando l'oggetto "Happy New Year" (nel corpo del messaggio si legge il testo "Picture of 2006"). In allegato è posta una "falsa" immagine JPG (in realtà si tratta di un file WMF).
Non appena il file HappyNewYear.jpg allegato all'e-mail virale viene aperto oppure, in qualche modo, gestito dalla shell di Windows (od indicizzato, ad esempio, da Google Desktop), viene sfruttata la falla WMF per scaricare una backdoor da Internet (Bifrose) che espone il sistema a razzie dall'esterno da parte di aggressori remoti.
La notizia è stata pubblicata sul blog di F-Secure che ha immediatamente battezzato la nuova minaccia come PFV-Exploit.D. Trend Micro, ad esempio, ha optato invece per il nome TROJ_NASCENE.H.
Frattanto, nell'attesa che venga rilasciata una patch ufficiale da parte di Microsoft, vengono proposte alcune possibili soluzioni temporanee per il problema. L'Internet Storm Center (isc.sans.org) consiglia l'utilizzo della patch (scaricabile da qui) realizzata da Ilfak Guilfanov (programmatore celebre per aver sviluppato software per decompilare applicazioni, effettuare analisi sul codice binario, hex editing,...). Una volta installata, la patch di Guilfanov fa leva sulla funzione SetAbort(), considerata come causa principale del problema. Successivamente, ISC suggerisce di annullare la registrazione della libreria SHIMGVW.DLL utilizzando il comando regsvr32 /u %windir%\system32\shimgvw.dll
Non appena Microsoft rilascerà una patch correttiva, prima di applicarla è caldamente consigliato provvedere alla disinstallazione dell'"hot fix" di Guilfanov ed alla registrazione della libreria SHIMGVW.DLL (comando regsvr32 %windir%\system32\shimgvw.dll).
Va ricordato che i file WMF dannosi non debbono avere necessariamente estensione .WMF ma possono presentarsi, ad esempio, come nel caso del worm citato in precedenza, come JPG. Il file viene infatti interpretato come WMF da parte di Windows grazie all'intestazione ("header") posta al suo interno.
La vulnerabilità relativa ai file WMF ha le sue radici nel passato. Quando venne concepito il formato Windows Metafile, nel corso degli anni '80, venne inserita una funzionalità che permetteva di inserire del codice all'interno dei file d'immagine. Questo codice veniva eseguito attraverso l'uso di una funzionalità "callback" in certe situazioni. Non un bug quindi ma qualcosa che, a quei tempi, risultava necessario. La funzione ora incriminata si chiama Escape() ed, in particolar modo, la sottofunzione SetAbortProc. La documentazione Microsoft riporta come questa sia stata sviluppata per annullare un processo di stampa durante l'operazione di "spooling" (ved. questa pagina). Ciò implica essenzialmente due aspetti: potrebbero esserci altre funzioni vulnerabili oltre a SetAbortProc e la vulnerabilità dovrebbe affliggere tutte le versioni di Windows (dalla 3.0 commercializzata a partire dal 1990).

[tidav]

http://www.f-secure.com/weblog/archi....html#00000762

[fester40]

Mi è capitato 3/4 volte negli ultimi giorni, su certi siti un po'.... che Firefox, all'apertura della pagina mi dia un messaggio tipo "si è deciso di scaricare un file tipo wmf.." e mi chieda se salvarlo o aprirlo. Ovviamente NON avevo chiesto di scaricarlo né aprirlo e quindi, parecchio insospettito, ho chiuso la finestra; credo proprio che si tratti della schifezza di cui sopra. Grazie a Firefox che mi ha avvertito e mi ha permesso di stroncare alla nascita 'sta nuova me*da.