http://www.washingtonpost.com/wp-dyn/content/article/2005/12/29/AR2005122901456.html

Leiam com atençao e previnam se! Eu ja instalei o firefox n va o diabo tece-las!

Vais desculpar o sarcasmo, mas desde quando exploits de nivél critico ao Windows são novidade? Se dissesses que 50.000.000 de users tinham mudado de browser/mailer e tinham evitado esta situação infeliz, isso sim era novidade.

Pensa assim por alto. Quantas vezes nos ultimos tempos (anos?) os problemas que tens no Windows não se resumiam a estares a usar IE/OE/MSOffice??? Pois, não foram assim muitas... E viste alguem a mudar para o Mozilla/Netscape/Opera? Ou recentemente para o Firefox/Netscape/Opera? Quantos? 1/2 duzia de milhões de gatos pingados?

E depoiz dizer

Eu ja instalei o firefox n va o diabo tece-las!

Porra, vejam lá se acordam. Esta é só mais uma falha. A M$ já deve ter um patch. E com sorte é como na ultima grande bronca em que o patch fechava um buraco e abria uma caverna...

Façam como o anuncio... Digam não á droga... Larguem a dependência e vão ver como a saude melhora logo...

p.s.
Não leves a mal, mas acordei com n mensagens no telele. Tudo povo que já está a "lidar" com essa flaw. Povo a quem eu disse explicitamente para não usar o IE/OE. Povo que tinha configs de Firefox/Thunderbird perfeitamente funcionais, e simplesmente não as usaram pq não queriam. E vai por mim, vai tudo pagar pelas orelhas pela limpeza. Quem não sabe é como o outro, quem não quer saber, bom, esses pagam bem. Só não consigo compreender pq raios o ppl prefere ficar sem computador de x em x tempo, perder ficheiros e trabalhos e ter de pagar reparações só para não mudarem os habitos de segurança de m***a que têm... Sinceramente na percebo...

Se é o exploit das imagens WMF basta fazer:

1) start > run
2) e escrever regsvr32 -u %windir%\system32\shimgvw.dll

Resolve o problema até certo grau. Claro que se abrirem um wmf infectado com o MS Paint ficam infectados na mesma.
Outro problema em usar este comando é que se fica sem o preview das pics (MS FAX & Picture Viewer)

mais alguns detalhes sobre o exploit


Foi descoberto nas últimas horas um exploit nos ficheiros WMF (Windows MetaFile) que permite que estes sejam usados para descarregar trojans ou outro software malicioso em computadores alheios. Não sendo eu dado a alarmismos no que diz respeito a vírus e afins, pareceu-me que esta situação é um pouco diferente do habitual e pode tomar (ou não, dependendo da resposta da Microsoft) proporções graves (semelhantes ou piores em alguns aspectos ao Blaster/Sasser) pelo que resolvi abrir este tópico.

Antes de mais, quem quiser pode ler o "Security Advisor" da Microsoft sobre o problema em: http://www.microsoft.com/technet/security/advisory/912840.mspx

Outro site com informação sobre o problema: http://www.kb.cert.org/vuls/id/181038

Trocando por miúdos, dá isto:

O que são ficheiros WMF?
Os ficheiros WMF (Windows MetaFile) são ficheiros de imagem usados desde as versões mais antigas do Windows. A maioria dos utilizadores conhece-os por ser o formato do "clipart" que acompanha o Microsoft Office. Fora isso é um formato muito pouco utilizado

Mas um ficheiro de imagem não pode conter um virus? Ou pode?
Pois. Aí reside grande parte do problema da novidade desta infecção. O ficheiro .wmv em si não é um vírus, mas pode ser modificado para tirar partido de uma vulnerabilidade de um componente do windows (gdi32.dll) responsável pelo processamento de imagens e a partir daí executar qualquer outro código. As versões actualmente em circulação usam o exploit para descarregar um trojan que depois infecta o sistema com uma quantidade considerável de spyware e malware, mas o exploit pode facilmente ser utilizado com outros payloads com consequências ainda piores

O que é preciso fazer para ser infectado?
Más notícias outra vez: praticamente qualquer interacção do sistema operativo com o ficheiro WMF é suficiente para despoletar o exploit. Isto inclui visualizar a imagem, obviamente, mas também simplesmente navegar pela pasta onde esta está alojada, visto que o Windows vai aceder ao ficheiro para obter informações sobre o mesmo.
Pior ainda, se estiverem a usar o Internet Explorer e acederem a uma página que contenha um ficheiro infectado, visto que o IE mostra imagens .WMF automaticamente, serão imediatamente infectados. O uso de outros browsers diminui um pouco este risco. Mais sobre isto mais à frente.


Se é assim basta bloquear todos os ficheiros .WMF para resolver o problema. Certo?
Errado. Infelizmente se o ficheiro for renomeado com qualquer outra extensão de ficheiro de imagem (.jpg, .gif, .png) o exploit funcionará à mesma, visto que a mesma biblioteca do windows é utilizada para o seu processamento.


Que sistemas são vulneráveis a este exploit?
Neste momento devem ser considerados vulnerávels todos os sistemas a correr qualquer versão do Windows, mesmo aqueles com as últimas actualizações de segurança instaladas e atrás de firewall ou proxy.



Ok, posto isto, nada de pânico. Enquanto a Microsoft não lança um patch, há algumas coisas que podemos fazer para nos protejer, embora nenhuma seja 100% eficaz.

1. Não usar o Internet Explorer. Usem um browser alternativo como o Firefox ou o Opera. Isto não vos tornará imunes ao ataque, mas diminuirá as vossas hipoteses de serem afectados, visto que outros browsers não mostram automaticamente ficheiros .wmf em páginas html. Em vez disso receberão um prompt a perguntar se querem descarregar ou não o ficheiro. Obviamente devem responder "Não". Há no entanto a possibilidade de o ficheiro ficar à mesma guardado no cache do vosso browser e ser depois acedido por outro programa despoletando o exploit. Por isso...

2. Devem evitar usar o "search" do windows ou software de indexação do disco como o Google Desktop. Estes programas, ao aceder a ficheiros guardados no cache do vosso browser, podem activar o exploit

3. Ser especialmente cuidadoso com attatchments que recebam por email ou MSN. Lembrem-se que todos os ficheiros de imagem (e não só aqueles cuja extensão é .wmf) podem ser ficheiros disfarçados contendo o exploit. Na dúvida mais vale não aceitar. Tenham também cuidado com os sites que visitam, especialmente aqueles mais "manhosos".

4. Utilizar um anti-virus de confiança, actualizado e a correr permanentemente. Neste momento nem todos os anti-virus detectam este exploit. Muitos detectam apenas os ficheiros que ele tenta instalar depois de activado. Um dos primeiros programas a detectá-lo e que parece ser o mais eficaz até ao momento foi o NOD32. Podem sacar uma versão trial em: http://www.eset.com/download/trial.htm No entanto, dada a natureza deste exploit é muito facil criar diferentes ficheiros com variantes do mesmo, pelo que mesmo os anti-virus mais actualizados não dão garantias de segurança a 100%. Qualquer que seja o anti-virus que usem devem ter o cuidado de ligar a opção de fazer scan a todos os ficheiros. Visto que os ficheiros .wmf não eram até aqui considerados potencialmente perigosos, a maioria dos anti-virus ignora-os por defeito.

5. Estar atento ao site da Microsoft para mais informações e (esperemos que em breve) um fix para o problema.

nao é so mudares para o firefox, é teres uma firewall actualizada e ires fazendo os updates lançados pela mcrosft

nao é so mudares para o firefox, é teres uma firewall actualizada e ires fazendo os updates lançados pela mcrosft


Pelo que li os antivírus actualizados já estão prevenidos para esta vulnerabildade...

até pk mudar para o firefox nao adianta de mt para este caso... lol
o que torna ainda mais comico o primeiro post.

Depois qd apanhares nao te queixes! E alem disso não mudei so o navegador web como precauçao ja tinha o nod32 instalado e como firewall a sygate professional por isso considero me bem protegido se e k isto se pode dizer! Em windows nunca se ta seguro!!

há cada user novato...... :S...n percebes q estás a "ensinar a missa ao vigário" :D ?

até pk mudar para o firefox nao adianta de mt para este caso... lol
o que torna ainda mais comico o primeiro post.

Vudu, se tivesses lido com atenção não dizias isso. O FF não sabe o que fazer com os wmf. Claro que ao fazer o download e abrir, ficavas infectado á mesma mas com o IE ficas infectado mal passas na página, pq o IE sabe o que fazer com o ficheiro...

De qqr modo, este só vai juntar-se a outro exploit recente (JPEG)... E a coisa pega. Com a qualidade de código made by M$, tarda nada tens exploits para todos os medias que o IE suporte. Só me admira terem demorado tanto a ir por este caminho. Dantes assumias que se não era um exe, não havia problemas. Agora vais ter de começar a assumir que tudo é dado a problemas.

Soluções? Não existem milagres, só podes tentar minimizar.

Desligaa tralha. Exemplo flagrante, o shell media handler do XP. Ganhas velocidade e mais alguma paz de espirito.

Junta-lhe variedade de aplicações tbm. Se todos usarmos o mesmo, somos todos vulneráveis ao mesmo. *nix vive um bocadito nessa base. Todas as distros têm vulnerabilidades, mas por norma têm-nas em sitios diferente. 99% dos problemas do Windows vêm da filosofia T-Shirt, one size fits all. Logo, o que funca com um funca com quase todos...

Ah well, isto vai ser só o principio... Aparentemente o ppl que escreve disto já percebeu que o melhor caminho para a coisa é mesmo exploitar tudo o que seja buraco em coisa que automagicamente executem/visualizem outras... Macromedia Flash Player next? Mais um T-Shirt, quase todos têm...

shell media handler do XP

o que é, e como se desliga?

qd tinha internet em casa (e qd voltar a ter vou voltar ao mesmo) simplesmente 90-95% do uso de internet fazia em linux depois la estava o windows para os jogos e d/l de algum driver ou patch, acho q ninguem me vai dizer q haja solução mais segura (claro q pode ser considerado um pouco incómoda estar a mudar de os, mas os problemas q evita valem a pena)

mas quem é que hoje em dia ainda usa o Internet Explorer?

Nabo, muitos... Muitos mesmo... Muitos dos meu colegas (até os de informática) ainda usam Internet Explorer...
No outro dia estava a tentar convencer um coelga meu a mudar para o FF e dei-lhe o site www.getfirefox.com e assim que entrou, vira-se para mim "isso é da mozilla? Atão já não quero"... Coitadinho, deve ter traumas com dinossauros... :rolleyes:

Eu tenho colegas que não mudam pro Firefox porque precisam do IE para alguns sites da microsoft (estilo o Update e assim).
Quando digo que podem usar o Firefox e manter o IE para esse casos respondem-me "Ter dois browsers pra quê???".
E não vale a pena tentar convencê-los, continuam a usar o IE não por ser melhor ou por gostarem mais, usam-no porque já vem com o windows logo "dá menos trabalho". :zzz:

Nabo, muitos... Muitos mesmo... Muitos dos meu colegas (até os de informática) ainda usam Internet Explorer...
No outro dia estava a tentar convencer um coelga meu a mudar para o FF e dei-lhe o site www.getfirefox.com e assim que entrou, vira-se para mim "isso é da mozilla? Atão já não quero"... Coitadinho, deve ter traumas com dinossauros... :rolleyes:

Aposto 5€ em como se ele te recomendasse o Internet Explorer e tu respondesses "isso e da Microsoft? Atão já não quero..." ele chamava-te "fanboy" e dizia-te que nao podias dizer mal de algo que nao conheces :D

mas quem é que hoje em dia ainda usa o Internet Explorer?

i do :P gets the job done...

qd tinha internet em casa (e qd voltar a ter vou voltar ao mesmo) simplesmente 90-95% do uso de internet fazia em linux depois la estava o windows para os jogos e d/l de algum driver ou patch, acho q ninguem me vai dizer q haja solução mais segura (claro q pode ser considerado um pouco incómoda estar a mudar de os, mas os problemas q evita valem a pena)

Ora ai esta!! Um amigo meu ta quase a convencer me a mudar pa linux ja tenho aqui o cd do ubuntu e tudo e so mm uma questão de preguiça pk teria k adaptar tudo a um novo mundo mas ao menos teria a salvo destas pragas!:P

duas coisas: pq so mudam d browser qd a coisa ta ma?
o kek o norton nao resolve?

eu axo k é uma coisa muito simples: ter firefox..actualizaçoes em dia...2 ou 3 anti-spyware..firewall(pra mim é zone alarm.recomendo) e tambem programas de limpeza. nao vou dizer k num é preciso mais nada porke sei ke era preciso um antivirus mas nao uso porke ta sempre a dar informações erradas...executu kualker comando e diz k é virus..simplesmente nao gostu e nao é por isso k tenho problemas..pelo contrario..ate hoje nunca tive nenhuns.

abraço a todos e k o 2006 seja melhor k 2005

Isto só vai lá quando as pessoas/empresas/sites que tiram proveito destes virus/spywares para nos enfiarem no pc toda lixeirada que querem, começarem a ser severamente punidas pelo prejuizo que fazem aos milhões de pessoas infectadas.

duas coisas: pq so mudam d browser qd a coisa ta ma?
o kek o norton nao resolve?

O Norton não consegue resolver o simples facto de ser o Norton! :D

Norton Antivirus e derivados só dá dores de cabeça, é demasiado conhecido! :p

Para minimizarem problemas.

Usem outro browser que não o iE. Firefox, Opera does the job.

Usem uma Firewall decente. Outpost, Sygate (rip), Kerio...

Um antivirus bom. Kaspersky, Kerio...

Tenham um router. Firewall por hardware.

Façam os updates do windows. Evitem sites "manhosos". Não abram tudo que lhes apareça à frente.

Em última instância mudem de SO. Mac OS X. *nix. :D

Só para avisar que o SAV já detecta e apaga estes ficheiros WMF se o auto-protect estiver ligado.

mas quem é que hoje em dia ainda usa o Internet Explorer?

I DO. :P

O Norton não consegue resolver o simples facto de ser o Norton! :D

Norton Antivirus e derivados só dá dores de cabeça, é demasiado conhecido! :p



Greven, não querendo ajudar a festa, muito povo amigo/cliente tava a usar NAV2006/SimantecCorporate. Lerparam todos... :004: :004: :004:

Seguiram o conselho, meteram o KAV, limparam o merdum. Next day, tinham o KAV desinstalado e tinham voltado ao Norton... "Não gosto/Não me ajeito/Não percebo nada daquilo".

Some ppl just don't learn :rolleyes: :rolleyes: :rolleyes:

o que é, e como se desliga?

É a coisinha gira que identifica media files e te dá previews e te torna o sistema ainda mais lento e vulnerável do que seria de esperar...

Eu tiro com o nLite, logo, já de raiz que não existe, mas deve haver um registry tweak para mandar o bixo pastar.

Anyway, nada bate o nLite. Só de desligar isso, o SFC e o System Restore o sistema parece outro... Backups é com tools a sério (Ghost/TrueImage/DriveImage)

eu tive o norton durante muiiito tempo e tive probs, e um bocado chato as vezes. mas detecta tudo (i tudo i tudo i tudo). qualquer coisinha mesmo. o system works é magnifico, a meu ver, a nao ser pelo facto de comer memoria e de ser um pouco estupido as vezes. mesmo assim faz um optimo trabalho.

nao o tenho porque a minha versao e antiga, pode ser q arranje o 2006 :D

Desligaa tralha. Exemplo flagrante, o shell media handler do XP. Ganhas velocidade e mais alguma paz de espirito.

como o DarTaKaum questionou, alguém sabe como isso se desliga?

e qual é o real efeito da desactivação? aumento de performance? inutilização de algumas capacidades do SO?

tudo o que é pra diminuir entulho é agradecido:)

thks in advance

tenho o firefox mas tenho de utilizar o IE em certos sites especialmente do Estado que têm algumas funcionalidades que só dão em IE

por outro lado uma coisa extremamente irritante no firefox, não sei se há alguma solução, é que qd se clica num hyperlink para fazer 1 download demora o q parece 1 eternidade a aparecer a caixa de diálogo ABRIR/SALVAR e depois a aparecer a janela de downloads...

no IE aquilo parece que é instantaneo...

Para veres janelas de IExplorer no firefox podes instalar duas extensões uteis.

- IE Tab: Abre janelas de IExplorer nas tabs do firefox, podes configurar para abrir sempre determinados links como janela de IExplorer.

- IE Fox: Abre janelas do IExplorer, podes configurar para abrir sempre determinados links no IExplorer.

Quanto ao teu outro problema não sei, mas a mim é instantaneo e tenho uma extension para controlar os download managers (Flashgot)

a mim nao e instantaneo mas tmbm n demora uma eternidade. e uma questao de dois/tres segundos

edit: luka, controlar os download managers? os download managers ja nao gerem os downloads?

até pk mudar para o firefox nao adianta de mt para este caso... lol
o que torna ainda mais comico o primeiro post.

LOL, ora bem! Isto é uma falha do Windows, independentemente do browser que se usa... Mas enfim. :-D

Mais info em http://www.grc.com/sn/notes-020.htm; Patch temporário: http://www.grc.com/miscfiles/wmffix_hexblog14.exe (Antes de aplicar o patch, fazer "regsvr32 -u shimgvw.dll" - sem as aspas, claro! - como "Administrador")

E já agora... Viva o Opera (http://www.opera.com/)! :P

luka, controlar os download managers? os download managers ja nao gerem os downloads?

Sim :)
Tens mais que um download manager, quando fazes um download pergunta se queres usar o download manager (e qual), se queres abrir com determinado programa ou se queres gravar para o disco :)

Sim :)
Tens mais que um download manager, quando fazes um download pergunta se queres usar o download manager (e qual), se queres abrir com determinado programa ou se queres gravar para o disco :)


lol. ok. eu ja tive o dap praki mas era uma confusao... tou satisfeito com o q vem com o firefox.


cumps

LOL, ora bem! Isto é uma falha do Windows, independentemente do browser que se usa... Mas enfim. :-D

Mais info em http://www.grc.com/sn/notes-020.htm; Patch temporário: http://www.grc.com/miscfiles/wmffix_hexblog14.exe (Antes de aplicar o patch, fazer "regsvr32 -u shimgvw.dll" - sem as aspas, claro! - como "Administrador")

E já agora... Viva o Opera (http://www.opera.com/)! :P

Esses patchs falham todos porque assumiram que era o shimgvw.dll que criava os problemas e afinal são GDI32.DLL e WGDI32.DLL os culpados.

Entretanto a Microsoft já lançou um patch -> link (http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx) .

isso tb afecta MAC OS X? :x2: