O que é isto? Nesta página você pode usar os links da Web Social para incluir Worm se utiliza da falha no WMF em um website de favoritos sociais ou então o formulário para enviar por e-mail.

Web Social

E-mail

Enviar por e-mail
Dezembro 31, 2005

Worm se utiliza da falha no WMF

Postado em:Alertas

A Kaspersky Labs, que desenvolve o Kaspersky Anti-Virus, está alertando sobre um worm que está utilizando a falha sem correção no WMF (Windows metafile) para se espalhar. Para explorar a falha, o worm envia um link malicioso através do MSN para todas as pessoas presentes na lista de contatos da pessoa infectada.

O link enviado pelo MSN possui a URL abaixo:

http://[removido]/xmas-2006 FUNNY.jpg

O ‘JPG’, na verdade, é uma página HTML (na web, o conteúdo de uma URL não pode ser identificado pela extensão devido a existência dos tipos MIME). Esse HTML, por sua vez, carrega uma imagem WMF maliciosa que faz o download de um arquivo VBS (script) e o executa. Esse script infecta o computador uma variante do SdBot para formar uma botnet.

O SdBot baixa uma variante do worm Kelvir, que é responsável pela rotina do worm para se espalhar via MSN e enviar os links que exploram a falha.

A Microsoft divulguou uma nota sobre a falha em que ela detalha um workaround (correção temporária) em que uma DLL chamada shimgvw.dll é desativada. Para desativá-la, clique em Iniciar -> Executar e coloque o comando:

regsvr32 -u shimgvw.dll

Após clicar em OK e reiniciar o computador, a DLL será desativada. Note que o Windows não poderá exibir algumas imagens se você desativar essa DLL, pois alguns programas usados pelo Windows para a visualização de imagens necessitam dela. Portanto, não execute o comando acima se você necessita do Visualizador de Imagens e Fax do Windows XP.

Se você precisa reativar a DLL novamente, use o comando:

regsvr32 shimgvw.dll

É importante ressalter que desativar a DLL não corrige o problema completamente, pois a falha está presente em outra DLL do sistema — a gdi32.dll, que é crítica do sistema e não deve ser desativada. Se você abrir um WMF malicioso no Paint, por exemplo, você ainda será infectado. Existem correções disponibilizadas por terceiros, mas elas podem não ser estáveis, portanto tome cuidado ao utilizá-las.

A Microsoft também confirmou que a utilização de DEP (presente no Windows XP SP2) só será eficaz em alguns sistemas que possuem hardware compatível com o DEP. Sistemas que possuem DEP apenas baseado em software (sem hardware compatível) não funcionam para prevenir a falha.

Se você possui um antivírus atualizado, ele poderá detectar a maioria dos WMFs maliciosos, mas lembre-se que novas imagens maliciosas aparecerão rapidamente. O antivírus pode não conseguir acompanhar os novos WMFs, que serão criados somente com o intuito de passar pela detecção.

A melhor recomendação, atualmente, é habilitar o DEP no Windows XP SP2 (se você possui um hardware compatível), desativar a DLL com o comando acima (se possível) e evitar a navegação em sites desconhecidos até que um patch seja lançado.

Retornar para: Worm se utiliza da falha no WMF