Новая эпидемия в сети

[Vortex 0]

В Windows обнаружена, наверное, самая гадкая уязвимость за всю ее долгую и бурную жизнь.

 

Изъян в операционной системе был обнаружен еще на прошлой неделе. Он позволяет заражать компьютеры вирусным кодом, помещенным в файл изображения. Угроза массовой атаки увеличилась многократно после того, как группа хакеров опубликовала в выходные исходный код вируса.

 

В отличие от большинства вредоносных программ, требующих загрузки и выполнения на компьютере подозрительного файла, новый вирус способен заражать компьютеры при просмотре веб-страниц, электронной почты или посланий системы мгновенного обмена сообщениями, содержащих зараженное изображение.

Уязвимости подвержены операционные системы Windows XP c SP2, а также Windows XP SP1 and Microsoft Windows Server 2003 SP0/SP1.

 

Уязвимость работает в браузере Internet Explorer, а также может быть исполнена в браузере Firefox (при некоторых дополнительных условиях).

Подробнее тут

Не оффициальный патч

[el_modding.uz 6]

дааа, так я и понял, что там написано, на русском то? что делает вирус? ну попал, жалко чтоль? а дальше? отправляет что то? нифига - фаервол, файлы жрёт? - нифига - защита файлов, так что не страшно я думаю. а неофицальные такие качать никада не буду...

[zvonok.net 58]

я тоже чёт не понял, как можно в битмап код впидюрить?

хотя можно, есть там инфо картинки ватермарксы и прочее, но чё этот код сделать может?

что конкретно делает вирус?

 

правка:

глянул на статью, всю читать не стал ибо не по русски

Microsoft became aware of public reports of malicious attacks on some customers involving a previously unknown security vulnerability in the Windows Meta File (WMF) code area in the Windows platform.

вольный перевод:

мелкософту настучали о аттаке ламеров неизвестной ранее антивирям хренью, которую цепляли в вмф файлы, на виндовых машинах.

 

на сколько я понимаю вмф это не совсем битмап, это вектор автоматом рендерящийся в битмап, вот в этот процесс как раз умники и подсовывают под обработку свой код. расширение вмф довльно специфичное и широко не используется, так что без паники

Edited 04.01.2006 12:19 by zvonok.net

[nikol 18]

zvonok.net прав в интернете практически не используется вмф, но на сайте я нашел вот это:

 

•In an e-mail based attack involving the current exploit, customers would have to click on a link in a malicious e-mail or open an attachment that exploits the vulnerability. It is important to remember that this malicious attachment may not be a .wmf. It could also be a .jpg, .gif, or other format. At this point, no attachment has been identified in which a user can be attacked simply by reading mail.

 

там прозвучало что то про гифы и джепеги. может кто знает перевод?

было бы не плохо во флеше что-нибудь придумать хакерам. вот это была бы зараза!!!

 

+ зачем ссылки на иностранном давать, ведь вроде на форуме все на русском!

[jentelman 4]

Я уже месяц назад читал, что теперь вирь можно вживить в изображение - в файлы формата jpeg. Даже где-то код давался.

А в вмф вообще кажется давно вирусы шьют. У меня файер ловил такие.

[VITUS 6]

Вас обрадовать ещё больше?

 

Ну, ловите:

 

Деловая газета «Взгляд»

 

В Windows нашли самую опасную «дыру»

 

В операционной системе Windows обнаружен очередной дефект, позволяющий хакерам заразить компьютер другого пользователя. Но в отличие от других обнаруженных «дыр», в этот раз, как говорят специалисты, потенциальной жертве даже не обязательно «что-то загружать или скачивать», новая уязвимость позволяет завладеть компьютером просто во время просмотра веб-страницы, или с помощью электронного письма.

 

Как заявили специалисты антивирусной компании F-Secure изданию The Financial Times, очередная «дыра» в операционной системе Windows, представляет «самую большую опасность для пользователя, из всех когда-либо нами обнаруженных». По словам сотрудника F-Secure Микко Хиппенена, в отличие от большинства нападений, которые требуют, чтобы жертвы загрузили или выполнили подозрительный файл, новая уязвимость позволяет заразить компьютеры уже во время просмотра веб-страницы, или посредством сообщения электронной почты, которое содержит зараженное изображение.

 

По данным издания, обнаруженный дефект был найден еще на прошлой неделе, но бить тревогу специалисты начали только сейчас, после того, как выяснился «потенциал для работы хакеров» - под угрозой атаки находятся миллионы компьютеров во всем мире.

 

В самой Microsoft признали наличие «дыры» и заверили, что «в тесном сотрудничестве с нашими партнерами из антивирусной компании работают над устранением проблемы». А пока «заплатка» не готова, разработчик Windows настоятельно советует «быть осторожным с сообщениями от подозрительных пользователей».

 

ЗЫ: Кстати, под "изображениями" в статье понимается WMF

Edited 05.01.2006 06:07 by VITUS

[Guest Гость]

Оригинал:

 

In an e-mail based attack involving the current exploit, customers would have to click on a link in a malicious e-mail or open an attachment that exploits the vulnerability. It is important to remember that this malicious attachment may not be a .wmf. It could also be a .jpg, .gif, or other format. At this point, no attachment has been identified in which a user can be attacked simply by reading mail.

 

Перевод.

При атаке через электронную почту, основанной на использовании данной дырки, клиенты должны кликнуть на ссылку во вредоносном письме, или открыть атач, использующий прореху. Нужно иметь в виду, что вредоносный атач не обязательно должен быть .wmf. Это может быть .jpg, .gif, или файл другого формата. До сего момента не было выявлено ни одного аттача, способного атаковать юзера при простом прочтении письма.

 

Так что все в порядке, пацаны. Приаттаченый файл действительно не обязательно должен быть вмф-ом - он может даже иметь двойное разрешение, типа .doc.exe - и при этои никакого отношения не иметь к заражению кодом, содержащимся в теле картинки.

 

>>>---------->eLF

[Guest Гость]

Упд к предыдущему посту.

 

Согласно блогу Ф-Секьюр вот тут - http://www.f-secure.com/weblog/archives/archive-122005.html :

1. Возможность вставить вредоносный код в ВМФ-файл существует.

2. Этот вредоносный код активизируется при:

- а. Просмотре зараженного ВМФ-файла.

- б. Скачивании зараженного ВМФ-файла.

- в. Просмотре страницы, содержащей зараженного ВМФ-файл.

 

То есть, стратегия распространения заразы через ВМФ-файлы такая же, как при распространении толп других червей: посредством ссылок на страницы со злым файлом, или сами файлы в аттаче. Первые маскируются под всякое, в т.ч. новогодние поздравления, вторые - под "безобидные" гиф-ы, жпеги и прочая. Стратегия борьбы с "эпидемией" стандартная - будьте разборчивы в связях и предохраняйтесь.

[el_modding.uz 6]

не, это хорошо всё ну загрузил и что??? что он сделает? управлять будет?? как? по какому порут? по 80-у??? а прога которая что хочешь в ЖПГ загонит есть у мя, тока я незнаю активизирует ли она его при открытии или нет...

[nikol 18]

Я уже месяц назад читал, что теперь вирь можно вживить в изображение - в файлы формата jpeg. Даже где-то код давался.

А в вмф вообще кажется давно вирусы шьют. У меня файер ловил такие.

А что у тебя за файер?

[Torg.Uz 621]

Ну вот уже и на узбекских сайтах появились новости (перевод с английского):

Microsoft под давлением выпустила патч для WMF

Корпорация Microsoft, планировавшая выпустить исправление для критической уязвимости в Windows 10 января, сделала это в четверг. В бюллетене по безопасности MS06-001 приводятся указания по устранению ошибки в обработке изображений Windows Meta File (WMF), обнаруженной на прошлой неделе. Уязвимость угрожает операционным системам Windows 2000, Windows XP и Windows Server 2003. Ранние версии Windows подвержены меньшей опасности.

Источник: www.uzinfocom.uz

 

А вот патч для WMF: http://www.microsoft.com/technet/security/...n/ms06-001.mspx

[Vortex 0]

Майкрософт выпустил официальный фикс

 

Impact of Vulnerability: Remote Code Execution

 

Maximum Severity Rating: Critical

 

Recommendation: Customers should apply the update immediately.

 

 

Повторяю. Уязвимость критическая.

 

Страница с сылкой на закачку тут

 

Мое дело предупредить. А ваше все остальное

[jentelman 4]

В операционной системе Windows обнаружен очередной дефект, позволяющий хакерам заразить компьютер другого пользователя. Но в отличие от других обнаруженных «дыр», в этот раз, как говорят специалисты, потенциальной жертве даже не обязательно «что-то загружать или скачивать», новая уязвимость позволяет завладеть компьютером просто во время просмотра веб-страницы, или с помощью электронного письма.

В принципе не ново.

а прога которая что хочешь в ЖПГ загонит есть у мя, тока я незнаю активизирует ли она его при открытии или нет...

Код, который видел я, как раз и предназначался для того, чтобы начать действовать, как только ты скачиваешь рисунок к себе на комп. Плюс замечу - рисунок даже не надо было открывать, просто было достаточно его скачать. Кажется, это был файл с расширением *.bmp

А что у тебя за файер?

БитДефендер

[Vortex 0]

БитДефендер - хороший антивирусный продукт.

С 7ой версии им пользуюсь. Писал на него руссик. Всем советую. Работает получше хваленного каспера. Правда файрволу я бы сильно не доверял. часто глючит. забывает свои настройки. и не может полностью заблокировать траффик.

Скоро будет готов руссик на 9ую версию.

Edited 06.01.2006 19:05 by Vortex

[jentelman 4]

Я пользуюсь 8-й русской версией профешенл.

Не знаю - настройки все помнит. В этом его и плюс.

Может заблокировать весь траффик.

[VITUS 6]

не, это хорошо всё ну загрузил и что??? что он сделает? управлять будет?? как? по какому порут? по 80-у??? а прога которая что хочешь в ЖПГ загонит есть у мя, тока я незнаю активизирует ли она его при открытии или нет...

Вредоносный код, находящийся в WMF при обработке (рендеринге) файла в процессе открытия его ОС получает управление, а дальше уж как бог (или чёрт) на душу положит вирусописателям начиная от банального format c: и до отсылки твоего реестра на сайт vasyapupkin.krutojxaker.ru

 

А прог, которые загоняют "что хошь" в jpg и прочие графические, аудио и видеоформаты - море, но это сделано только для маскировки этого самого "что хошь" (стеганография). НИКАКОГО запуска кода при открытии и просмотре (прослушивании) файлов не происходит.

Edited 06.01.2006 20:12 by VITUS

[zvonok.net 58]

А прог, которые загоняют "что хошь" в jpg и прочие графические, аудио и видеоформаты - море, но это сделано только для маскировки этого самого "что хошь" (стеганография). НИКАКОГО запуска кода при открытии и просмотре (прослушивании) файлов не происходит.

угу, а код в любой стрим аудио, видео или растровую картинку можно хоть ручками засунуть, открыть в хексере и в заголовок сунуть или как уже говорил есть специальные инфо поля в таких файлах, а ещё есть поля для ватермарков.