wszystko o hackingu i nie tylko :: Przegląd tematu

F@r@oN

Dziura została oznaczona przez firmę badawczą Secunia jako "ekstremalnie krytyczna". Zagrożenie polega na tym, że specjalnie spreparowane pliki WMF mogą wykonać dowolne komendy w komputerze ofiary. Na niebezpieczny plik WMF można natknąć się podczas przeglądania stron internetowych - użytkownicy korzystający z Internet Explorera zostaną automatycznie zarażeni po wejściu na strony je zawierające. W Firefoksie i Operze pojawia się najpierw pytanie o otwarcie lub uruchomienie pliku WMF - w razie wybrania którejś z tych opcji następuje zarażenie.

Informacje o błędzie potwierdził Microsoft, nie podając jednak sposobu na uniknięcie zagrożenia. Microsoft zaproponował jedynie tymczasowe wyrejestrowanie komponentu odpowiadającego za obsługę plików WMF - Windows Picture and Fax Viewer. Procedura jest następująca:

- z menu "Start" wybrać "uruchom"

- w wyskakującym okienku wpisać "regsvr32 -u %windir%\system32\shimgvw.dll" (bez cudzysłowów) i wcisnąć "OK"

- potwiedzić wyrejestrowanie wciskając "OK".

Powyższe rozwiązanie nie zabezpiecza w pełni przez zagrożeniem - niebezpieczny kod może być uruchomiony np. przy otwieraniu spreparowanego pliku poprzez program graficzny (mspaint).

Jak dotąd nie stwierdzono występowania wirusów używających luki w obsłudze WMF, pojawiło się natomiast kilkadziesiąt rodzajów plików instalujących oprogramowanie typu spyware i fałszywe programy antywirusowe i anyspyware'owe .

Obecność tak spreparowanych plików WMF stwierdzono między innymi na stronach: unionseek.com, crackz.ws, unionseek.com, www.tfcco.com, Iframeurl.biz, toolbarbiz.biz, toolbarsite.biz, toolbartraff.biz, toolbarurl.biz, buytoolbar.biz, buytraff.biz, iframebiz.biz, iframecash.biz, iframesite.biz, iframetraff.biz, iframeurl.biz, beehappyy.biz.

Zaleca się unikanie tych adresów. Co ciekawe, ostatnia domena z powyższej listy jest zarejestrowana na nazwisko Michaiła Gorbaczowa, zamieszkałego przy Placu Czerwonym.