A Kaspersky Labs, que desenvolve o Kaspersky Anti-Virus, está alertando sobre um worm que está utilizando a falha sem correção no WMF (Windows metafile) para se espalhar. Para explorar a falha, o worm envia um link malicioso através do MSN para todas as pessoas presentes na lista de contatos da pessoa infectada.

O link enviado pelo MSN possui a URL abaixo:

http://%5Bremovido%5D/xmas-2006 FUNNY.jpg

O ‘JPG’, na verdade, é uma página HTML (na web, o conteúdo de uma URL não pode ser identificado pela extensão devido a existência dos tipos MIME). Esse HTML, por sua vez, carrega uma imagem WMF maliciosa que faz o download de um arquivo VBS (script) e o executa. Esse script infecta o computador uma variante do SdBot para formar uma botnet.

O SdBot baixa uma variante do worm Kelvir, que é responsável pela rotina do worm para se espalhar via MSN e enviar os links que exploram a falha.

A Microsoft divulguou uma nota sobre a falha em que ela detalha um workaround (correção temporária) em que uma DLL chamada shimgvw.dll é desativada. Para desativá-la, clique em Iniciar -> Executar e coloque o comando:

regsvr32 -u shimgvw.dll

Após clicar em OK e reiniciar o computador, a DLL será desativada. Note que o Windows não poderá exibir algumas imagens se você desativar essa DLL, pois alguns programas usados pelo Windows para a visualização de imagens necessitam dela. Portanto, não execute o comando acima se você necessita do Visualizador de Imagens e Fax do Windows XP.

Se você precisa reativar a DLL novamente, use o comando:

regsvr32 shimgvw.dll

É importante ressalter que desativar a DLL não corrige o problema completamente, pois a falha está presente em outra DLL do sistema — a gdi32.dll, que é crítica do sistema e não deve ser desativada. Se você abrir um WMF malicioso no Paint, por exemplo, você ainda será infectado. Existem correções <a href=" disponibilizadas por terceiros, mas elas podem não ser estáveis, portanto tome cuidado ao utilizá-las.

A Microsoft também confirmou que a utilização de DEP (presente no Windows XP SP2) só será eficaz em alguns sistemas que possuem hardware compatível com o DEP. Sistemas que possuem DEP apenas baseado em software (sem hardware compatível) não funcionam para prevenir a falha.

Se você possui um antivírus atualizado, ele poderá detectar a maioria dos WMFs maliciosos, mas lembre-se que novas imagens maliciosas aparecerão rapidamente. O antivírus pode não conseguir acompanhar os novos WMFs, que serão criados somente com o intuito de passar pela detecção.

A melhor recomendação, atualmente, é habilitar o DEP no Windows XP SP2 (se você possui um hardware compatível), desativar a DLL com o comando acima (se possível) e evitar a navegação em sites desconhecidos até que um patch seja lançado.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

2 comentários

  1. Chan 02/01/2006 às 00:07

    Só me resta mais uma vez parabenizar o Linha Defensiva. Se eu tivesse lido antes sobre a mais recente falha WMF não teria sido infectado como fui. O pior é que os grandes portais da web não dão destaque a esta grave falha do IE.

    Curtir

  2. rodrigo 10/01/2006 às 12:28

    meu micro foi infectado porque estava no msn,
    agradeço o linha defensiva por está alertando a todos sobre estes virús malvados que só nós atrapalha.

    Curtir

Os comentários estão encerrados.