Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties
Bron: De Telegraaf, submitter: Bravebart

Gebruikers van MSN onder Windows XP worden de laatste tijd geplaagd door een gevaarlijk virus. Het is het eerste virus dat gebruik maakt van een vorige week ontdekte fout in het grafische systeem van XP. Het aantal besmettingen is tot dusver gering, enige honderden. Aangezien 98 procent hiervan Nederlandse gebruikers betreft, wordt aangenomen dat de maker van het virus eveneens Nederlander is. Omdat Microsoft nog geen patch tegen het virus heeft uitgebracht zijn ook gebruikers met de nieuwste updates kwetsbaar.

MSN vlinderHet virus presenteert zich als een plaatje met een kerstgroet. Wie daar op klikt raakt via een internetpagina besmet. Op het systeem wordt vervolgens een keylogger geÔnstalleerd die alle toetsaanslagen registreert. Dit gedrag doet vermoeden dat de maker van het virus uit is op betaalgegevens en creditcardnummers. Volgens virusdeskundigen is er geen echte remedie tegen zolang Microsoft er geen update tegen heeft uitgebracht. Het antivirusbedrijf Kaspersky adviseert gebruikers tot die tijd de beveiligingsinstellingen maximaal te zetten en op te passen met onbekende plaatjes.

Moderatie-faq Wijzig weergave

Reacties (84)

De work-around die hierboven wordt genoemd is niet voldoende! Deze work-around 'unregistered' slechts Shimgvw.dll. Hiermee wordt voorkomen dat de MS picture en fax viewer kan worden aangeroepen. De fout zelf zit echter in GDI32.dll. Onderstaande fix pakt de fout bij de bron aan en patcht GDI32.dll.


Er is een tijdelijke fix beschikbaar:
http://www.hexblog.com/2005/12/wmf_vuln.html

- fix is voor: W2K, XP 32-bit, XP 64-bit, Server 2003. (Zou ook werken op Vista beta2)
- LET OP: je MOET rebooten na het installeren!
- deze patch verandert geen bestanden of instelllingen
- source code beschikbaar
- fix gecontroleerd door aantal grote websites en "in orde bevonden".
- uninstallen via add/remove programs

Microsoft heeft nog geen fix beschikbaar. Deze fix is op dit moment het beste wat er is. Voor alle andere windows versies (3.x, 9x en ME) is geen fix beschikbaar.

Het gaat hier wsl om het grootste en gevaarlijkste lek ooit. Alle computers met windows 3.0 of hoger liggen volkomen open en kunnen zomaar worden overgenomen zonder dat je er ook maar erg in hebt! McAffee geeft al aan dat 6% van hun gebruikers al besmet is met de 1e variant van de exploits. Meer, en gevaarlijkere varianten zijn al gesignaleerd.
http://www.f-secure.com/w...hive-012006.html#00000761
http://isc.sans.org/diary.php?storyid=992

Je kan zelf testen of je PC kwetsbaar is:
http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html
(let op: als je de fix hebt geinstalleerd, maar niet hebt gereboot, dan geeft deze test ten onrechte aan dat je veilig bent. Je moet per se rebooten nadat je de fix hebt geinstalleerd.)

Voor als je CPU hardware DEP ondersteund, zie:
http://sunbeltblog.blogspot.com/2005/12/microsoft-clarifies-dep-issue. html
http://www.viruslist.com/en/weblog?weblogid=176771047

Andere nuttige links:
http://castlecops.com/article6436.html
http://www.grc.com/groups/securitynow:423
http://isc.sans.org/diary.php?storyid=999

edit:
Mijn andere reactie op 'paazei' en 'dwar' ook maar even in deze post gezet omdat de reactie van paazei naar 0 is gemod:

Je kunt al worden besmet zonder ergens op te kliken of zonder dat het plaatje wordt gerendert. Als een besmet plaatje wordt geparst ben je al besmet!!!

Parsen kan bijvoorbeeld door:
- een directory te openen waar het plaatje in staat met thumbnail weergave.
- Firefox en Opera renderen het plaatje niet. Maar als je Google Desktopsearch hebt, dan is het indexeren van je browsers cache al voldoende om besmet te worden!

In beide gevallen ben je besmet zonder dat het plaatje wordt gerendert! Omdat de aanvaller volledige controle krijgt over je PC (ongeacht of je als admin werkt of als limited user!) kan er dus bv. een rootkit of een secure shell worden geinstalleerd zonder dat je het door hebt!

edit2:
Naar aanleiding van terugkerende vragen "Hoe weet ik of ik besmet ben?" en "Hoe kom ik er weer van af?" Voor alle duidelijkheid: het gaat hier niet om een virus! Het gaat hier om een algemene vulnerabilty die de aanvaller complete controle over je PC geeft. Er is dus (helaas!) ook geen standaard manier om je PC weer schoon te krijgen als je besmet bent. Er is ook geen standaard manier om te kijken of je besmet bent! Het hangt er dus maar net van af wat de aanvaller heeft gedaan nadat deze de controle over je PC heeft gekregen.

Als je PC ineens raar gaat doen (zoekbalkjes installeren, tig popups openen of iets dergelijks) heb je eigenlijk geluk. Het is dan tenminste zichtbaar. Maar de aanvaller kan net zo goed een rootkit of een secure shell installeren zonder dat je dus ook maar IETS merkt. Dat is nog veel gevaarlijker.

Ik heb dus geen pasklare oplossing. Mogelijk helpen de Rootkitrevealer en de Process Explorer van sysinternals je iets verder.
http://www.sysinternals.com/utilities/rootkitrevealer.html
http://www.sysinternals.com/Utilities/ProcessExplorer.html
De vraag is hoe snel MS komt met een fix. De wachttijd tot de volgende fixronde is voor iets dat zo ernstig is veel te lang. Ik had eigenlijk ook wel een mailtje verwacht (consumer security newsletter) die dit lek in grote vette rode letters zou melden, maar tot nu toe niets...

Dit lijkt inderdaad wel het meest ernstige lek aller tijden te zijn, midden in het grafische hart van Windows. Jammer dat MS dit niet heeft opgemerkt tijdens de security push van een paar jaar geleden.
Ach, weer het zoveelste voorbeeld hoe fout MS' 'gebruiksgemak boven veiligheid' strategie is.
Wie daar op klikt raakt via een internetpagina besmet

Volgens mij maakt het niets uit de het plaatje geopend wordt aangezien deze het virus niet bevat. Het probleem zit hem in de pagina die wordt geopend.
hebben trillian en gaim gebruikers er ook last van ?
Ik denk het wel aangezien een XP exploit wordt gebruikt en niet een MSN bug.
Ware het niet dat GAIM geen inline plaatjes doet.
Wat hier uiteraard niets mee te maken heeft omdat er vaak slechts een file of url word gestuurd...
Het virus presenteert zich als een plaatje met een kerstgroet. Wie daar op klikt raakt via een internetpagina besmet.
Dat GAIM niet aan inline plaatjes doet lijkt me ondergeschikt, aangezien de besmetting niet via MSN loopt maar via een internet pagina.
Maar voordat je op die pagina komt moet je op het plaatje geklikt hebben, doordat je dat plaatje niet ziet, kan je er ook niet op klikken. Heb zelf onder trillian/gaim zover mij heugd nog nooit een inline plaatje gekregen, maar krijg wel soms "he, zie je hem, grappig he" berichtjes, dus neem aan dat ze dus gewoon compleet genegeerd worden door gaim.
Ik denk dat trillian, GAIM en de anderen ze wel ontvangen (en dus vatbaar zijn), maar niet weer verzenden (aangezien ze verzonden worden met een code die MSN aanstuurt).
Gebruikers van Hitman Pro kunnen de SurfRight feature inschakelen om te voorkomen dat exploits vat krijgen op de PC. SurfRight reduceert de rechten van internetapplicaties waardoor geen zaken op de PC geinstalleerd kunnen worden dankzij het lek.
Ik werk ALTIJD met beperkte rechten. Als ik iets moet installeren dan gaat dat via een apart admin account. Er staat een goed artikel over in c't 01-2006.
Het blijft gewoon opmerkelijk hoe normaal mensen het vinden dat ze allerhande ingrijpende handelingen moeten doen om min of meer "veilig" met hun Windows OS te kunnen werken...

Dit is gewoon een zoveelste critical exploit in Windows, en ondertussen zijn we wel in het jaar 2006...

Hoe lang blijft iedereen dat slikken ?
Je zal er mee moeten leren leven, net zoals je moet leven met het feit dat ooit je fiets een keer gestolen zal worden, al doe je er 6 sloten omheen en er ooit een keer bij jou thuis ingebroken zal worden, al heb je nog zulke dure dievenklauwen overal op zitten.

Zolang er kwaadwillende personen bestaan, zullen gaten in software gezocht, gevonden en misbruikt worden. Tenzij je van mening bent dat er een besturingssysteem geschreven kan worden dat 100% waterdicht is, maar dat is toch echt een utopie.
Ik houd ook van flame vrij topics, dus ik zal voorzichtig zijn. Maar ik heb vaak het gevoel dat de ontwikkelaars/ontwerpers van Windows soms niet goed aan het nadenken zijn geweest over wat ze aan het schrijven zijn. Dat lijkt me wel iets wat je ze kwalijk kunt nemen. Wat zou een plaatje OOIT voor security risico mogen inhouden. "Less is more". Jpeg decoden en tonen aan de gebruiker..
gezien het feit dat je naar beneden bent gemod willen veel mensen het niet eens horen, misschien dat ze denken dat het dan ineens zllemaal goedkomt ;)
H'm bij deze worm helpt dat blijkbaar niet (noch de DEP)

Zie (uit kaspersky, onderste alinea's) http://www.viruslist.com/en/weblog?weblogid=176771047

At first glance it seems that hardware-based Data Execution Protection, which is available only with XP/SP2 on NX-bit (AMD) and XD-bit (Intel) enabled CPUs, prevents successful exploitation of the vulnerability.

We've tested on AMD and Intel platforms and HW DEP seemed initially to prevent successful exploitation in Internet Explorer and Windows Explorer. However, when testing the latest builds of third party image viewers like Irfanview and XnView HW DEP didn't prevent exploitation, even with HW DEP enabled for all programs. This is because both Irfanview and XnView are packed with ASPack and Windows disables HW DEP for ASPack packed files.

This shows that although HW DEP can help, it's by no means a solution.

Perhaps the most worrying thing about this whole issue is that NTFS rights have no effect on whether or not the vulnerability will be exploited.

Some people run under a limited user account (which among other things restricts NTFS rights). This may make people feel that they are protected from malware. In this case, nothing could be much further from the truth.

The attackers seem very well aware of this fact and have already released malware which will be downloaded and executed in a directory where a limited user has execution rights.
Volgens het artikel is de reactie van MS weer standaard:
1. het is geen bug, maar een feature
2. het is onverantwoord dat het lek naar buiten wordt gebracht voor er een fix is...

Je blijft toch lachen met die jongens uit Redmond. Alleen jammer dat ze zo voorspelbaar aan het worden zijn...
Alleen is het niet alleen Microsofts' mening, maar ook die van de beveiligingsexperts.
Alleen is het niet alleen Microsofts' mening, maar ook die van de beveiligingsexperts.
Laat alleen maar zien dat je die "experts" ook niet zo serieus moet nemen ;)
Waar heeft microsoft gezegt dat dit een feature is? Ze hebben volgens mij juist toegeven dat dit een fout is en dat er een oplossing voor komt. (deze mag wel snel komen trouwens)
Ohja, en jij vind dus ook als ik een exe schrijf met format c: erin en iemand start die dat dan de fout bij Microsoft ligt...
Dat is natuurlijk geen vergelijking, mensen hoeven het plaatje niet eens te openen, als je de thumbnail preview ziet in je verkenner is het al te laat. Als je het plaatje op een website ziet is het al te laat. Als je het plaatje in je mail ziet is het al te laat.

In jouw voorbeeld moet een bewuste handeling verricht worden.
Volgens het artikel is de reactie van MS weer standaard:
1. het is geen bug, maar een feature
2. het is onverantwoord dat het lek naar buiten wordt gebracht voor er een fix is...

Je blijft toch lachen met die jongens uit Redmond. Alleen jammer dat ze zo voorspelbaar aan het worden zijn...
Jouw reactie is ook weer standaard:
1. laten we maar direct roepen dat MS zegt dat het een feature is, ook al hebben ze dit nooit gezegd.
2. het is inderdaad onverantwoord. Antivirus en andere beveiligingsbedrijven zijn commercieel,maw ze hebben er alle baat bij dat er zoveel mogelijk lekken en virussen bekend geraken.

Je blijft toch lachen met die MS bashers. Alleen jammer dat ze zo voorspelbaar aan het worden zijn...
MS heeft nog idd nog geen patch maar wel een workaround:
Un-register the Windows Picture and Fax Viewer (Shimgvw.dll) on Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 and Windows Server 2003 Service Pack 1

zie hier: http://www.microsoft.com/...rity/advisory/912840.mspx
Ik weet niet of dat er iets mee te maken heeft maar ik kwam gisteren op een site terecht die eerst vroeg of ik iets wou downloaden. Na het aborten er van werd automatisch picture preview geopend, wat dus al vreemd is, het plaatje werd alleen niet geladen. Toen kwam er een melding van Windows van data execution prevention (DEP) die een bepaalde DLL had geblockt.

Ik heb echt nog nooit zoiets gezien wat dus zomaar programma's via een website kan opstarten, echt weird.
Ik hoop dat Microsoft hier iets aan doet.
Dit klinkt inderdaad superverdacht als een poging van dit virus om jouw systeem te besmetten, wees blij dat je dus op een of andere manier toch beschermd was (zonder ervan uit te gaan dat dit bij alle pogingen zal werken).

Het probleem is gewoon de achterliggende filosofie om de luie gebruiker die geen kaas gegeten heeft van computers het zo makkelijk mogelijk te maken om te internetten en alles te doen zonder veel irritante pop-ups met waarschuwingen die toch niet gelezen worden. Als ze daar niets aan doen zal het alleen maar erger worden.

Als ze bij de installatie de gebruiker dwingen om een admin account te maken met password en alleen als poweruser belangrijke handelingen kunnen uitvoeren die een virus of trojan nodig heeft maar de gemiddelde thuisgebruiker misschien eens per week of minder zou dat het aantal ernstige besmettingen met minimaal 99% doen verminderen.
Ik zie allemaal wel remedies om besmetting in de toekomst te voorkomen, maar wat is de oplossing om de huidige besmetting ongedaan te maken of om er achter te komen of je uberhaupt besmet bent?
Van de Microsoft site:
Customers can also visit Windows Live Safety Center and are encouraged to use the Complete Scan option to check for and remove malicious software that take advantage of this vulnerability. We will continue to investigate these public reports.
Zou je kunnen proberen...
laat me raden: dit gebeurt alleen als je IE gebruikt :?
Ook FireFox is vatbaar. Ik kan me zo voorstellen dat email met embedded WMF bestanden ook problemen kunnen veroorzaken.

M.a.w. alle internetapplicaties die bestanden kunnen ontvangen zijn vatbaar.
Opmerking:
Gebruikers van diverse browsers, waaronder Mozilla Firefox, zijn ook kwetsbaar. Wanneer u met uw browser een kwaadaardige website bezoekt, is het mogelijk dat u gevraagd wordt om een bestand, waarvan de naam op '.wmf' eindigt, te downloaden en te starten. Wanneer u het bestand downloadt en opent, kan uw computer worden misbruikt.
Dat zou dus al een extra waarschuwing moeten zijn om het niet te openen!!!
De vraag is alleen of je altijd die waarschuwing krijgt als je een alternatieve browser gebruikt.

Wat ik me nog afvraag is of het nog uitmaakt of je een firewall gebruikt of niet. De firewall zou toch moeten merken dat er verbinding wordt gelegd om de toetsaanslagen door te geven.
Of zit er ook al een bug in de firewalls?
Als je eenmaal shell of iets dergelijks hebt, kun je de services van de firewall simpel met ťťn commando stoppen.
Hoe weet je dit? Met een e-mail zal het weinig uitmaken idd, maar met die link die je opgestuurd krijgt via MSN maakt het wel degelijk uit of je hem met firefox danwel IE opent. Firefox 1.5 heeft namelijk een andere renderer (Cairo) dan standaard in windows zit (gebruikt door IE).

-edit: Quacka hieronder heeft gelijk, .wmf bestanden worden welliswaar niet in firefox bekeken, maar als je ze opslaat (standaard) en daarna opent heb je het virus alsnog
Ik kreeg vanmorgen op mijn mail achtereenvolgens een mail van de sysadmin dat ik dat mailtje niet moest openen
Geachte relatie,

Met het weinig originele onderwerp 'Merry Christmas and a Happy New Year ! ' probeert de worm 'Happy.X.A' een trojaans paard op uw systeem te installeren middels 2 bijlagen. Een van de bijgevoegde bestanden is een Flash-animatie van de kerstman met kerstmuziek

Ook in deze tijd geldt: Open GEEN bijlagen bij e-mails van onbekende herkomst, ook al lijkt de boodschap nog zo vreedzaam.

Desondanks wensen wij u, zonder bijlage maar welgemeend, zeer prettige kerstdagen toe.

Met vriendelijke groet,
...
en vervolgens een nieuwjaarsmailing van informatique met vrijwel dezelfde strekking als die waarschuwing... oeps :P

Het schijnt dus ook via de mail te komen.
Omdat het ook een Exploit is van de OS en niet alleen van MSN!
Desondanks wensen wij u, zonder bijlage maar welgemeend, zeer prettige kerstdagen toe.
En dat mailtje kreeg je vanmorgen, op 2 januari??

Dan is er, ofwel iets mis met jullie interne mailsysteem, of jullie sysadmin is net wakker uit zijn winterslaap. :+

@denblom: Wat snap jij niet aan bovenstaande smiley?
je kan toch ook je mail vandaag pas opennen............ |:(
Open GEEN bijlagen bij e-mails van onbekende herkomst, ook al lijkt de boodschap nog zo vreedzaam.
Dus als hij van een bekend iemand komt mag je hem wel openen... :?

Blijf ik toch raar vinden...
Dit is toch wel heel erg ernstig. Ik werk dan wel op een Apple dus heb van deze exploit geen last, maar het geeft toch wel te denken. We vertrouwen steeds meer dingen aan computers toe. Van betalingsverkeer, via zeer vertrouwelijke info, tot aan vitale dingen.

Als zo'n #^&#^ virus een beetje verkeerd uitpakt kan dat onze halve moderne maatschappij lamleggen, en dan heb ik daar als Apple gebruiker -ook- last van. (tevens als zoiets technisch gezien onder Windows mogelijk is, dan kan het in theorie ook onder Mac OS X en Linux etc gebeuren).

Ik denk dat het tijd wordt dat de overheden hier eens een gecoordineerde dienst voor gaan opzetten. De effecten hiervan kunnen veel dieper gaan dan truus en sjonnie die even niet meer kunnen internetten.
Opletten als je zoiets zegt want dan krijg je hier direct een moderatie aan je broek.

Ik zeg zelf ook al heel lang dat het IMHO dringend tijd wordt om Microsoft hiervoor verantwoordelijk te stellen. Want als vandaag of morgen weer een zoveelste zeer critical exploit bekend raakt dan is het helemaal niet zo onmogelijk dat misbruik van die exploit zware schade aan onze maatschappij kan teweegbrengen.

Simpelweg omdat we (te) veel van internet en pc's (lees met Windows als OS) afhankelijk zijn geworden voor ons dagdagelijks leven.

Maar ja... de meeste mensen lijken dat reeele risico helemaal niet erg te vinden...
Wat een onzin om Microsoft aansprakelijk te stellen. Het is de misbruiker die verantwoordelijk moet worden gehouden en dus die halve zool die die exploit heeft gepubliceerd en al die kwart zolen die er iets mee doen moeten aangepakt worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True