Javítatlan Windows-hibát használ ki egy gyorsan terjedő trójai
[News.com/eWeek/HWSW] Szerdán egy új trójai ütötte fel a fejét, amely rendkívüli sebességgel fertőzte meg a Windowst futtató PC-ket, ezért a biztonsági cégek többsége a lehető legsúlyosabb kategóriába sorolta a kártevőt. A kártevő a fertőzött gépeket zombivá változtatja, illetve kémprogramokat telepít rájuk. Az Exploit-WMF névre keresztelt trójai a Windows XP és Windows Server 2003 egy eddig kijavítatlan hibáját használja ki.
A WMF-fájlok támadása
A fertőzést speciálisan előkészített WMF (Windows Metafile) állományok hordozzák, amelyeket a támadók különféle -- főleg erotikus és warez -- oldalakon helyeztek el, de az F-Secure szerint az egyik fertőző oldal a beehappyy.biz, amely a WHOIS információk alapján a volt szovjet vezetőé, Mihail Gorbacsové. A kártevő a használt böngészőtől függetlenül be tud jutni a számítógépekre, amennyiben a WMF fájl megnyitásához a Windowsban alapértelmezett "Windows Picture and Fax Viewer" programot használjuk.
A biztonsági cégek által kiadott figyelmeztetések szerint a gépre települő kártevő egy másik trójait tölt le, amely aztán zombivá változtatja a PC-t, kémprogramot telepít, vagy egyszerűen egy tátongó biztonsági rést hagy maga után, amelyen át adatok lophatók el. A Kaspersky az Exploit-WMF trójait "rendkívül kritikus" veszélyességi besorolással látta el és arra figyelmeztetett, hogy hamarosan újabb változatok felbukkanása várható.
A Microsoftnál még vizsgálják
"A Microsoft jelenleg is vizsgálja azokat a jelentéseket, amelyek a Windowsban található potenciális hibáról szólnak, annak érdekében, hogy segítséget nyújthasson az ügyfeleinek" -- tudatta a redmondi szoftvercég képviselője. "A vizsgálat befejeztével a Microsoft megteszi a szükséges lépeéseket az ügyfelek védelmében, amely az ügyfelek igényeitől függően lehet egy havi rendszeres frissítés vagy egy biztonsági figyelmeztetés." A vállalat azt tanácsolja a Windows-felhasználóknak, telepítsenek tűzfalat és vírusirtót, az Internet Explorert pedig állítsák "magas" biztonsági fokozatba.
A legtöbb vírusvédelmi cég már kiadta a szükséges frissítéseket, amelyek révén megakadályozhatók az ilyen támadások, de egy felhasználók által kivitelezhető megoldás is létezik, amely letiltja a Windowsban a sérülékeny DLL használatát a WMF fájlok megnyitásánál. A felhasználónak nincs más dolga, mint a lefuttatni a "regsvr32 /u shimgvw.dll" parancsot. Az iDEFENSE megerősítette ennek a módszernek a működését, bár ez egyben azzal is jár, hogy a WMF fájlokat a felhasználó a továbbiakban nem tudja megnyitni. A DLL "visszakapcsolásához" a "regsvr32 shimgvw.dll" parancsot kell kiadni.