Nederlandse MSN-gebruikers doelwit virus

De work-around die hierboven wordt genoemd is niet voldoende! Deze work-around 'unregistered' slechts Shimgvw.dll. Hiermee wordt voorkomen dat de MS picture en fax viewer kan worden aangeroepen. De fout zelf zit echter in GDI32.dll. Onderstaande fix pakt de fout bij de bron aan en patcht GDI32.dll.


Er is een tijdelijke fix beschikbaar:
http://www.hexblog.com/2005/12/wmf_vuln.html
- fix is voor: W2K, XP 32-bit, XP 64-bit, Server 2003. (Zou ook werken op Vista beta2)
- LET OP: je MOET rebooten na het installeren!
- deze patch verandert geen bestanden of instelllingen
- source code beschikbaar
- fix gecontroleerd door aantal grote websites en "in orde bevonden".
- uninstallen via add/remove programs

Microsoft heeft nog geen fix beschikbaar. Deze fix is op dit moment het beste wat er is. Voor alle andere windows versies (3.x, 9x en ME) is geen fix beschikbaar.

Het gaat hier wsl om het grootste en gevaarlijkste lek ooit. Alle computers met windows 3.0 of hoger liggen volkomen open en kunnen zomaar worden overgenomen zonder dat je er ook maar erg in hebt! McAffee geeft al aan dat 6% van hun gebruikers al besmet is met de 1e variant van de exploits. Meer, en gevaarlijkere varianten zijn al gesignaleerd.
http://www.f-secure.com/w...hive-012006.html#00000761
http://isc.sans.org/diary.php?storyid=992

Je kan zelf testen of je PC kwetsbaar is:
http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html
(let op: als je de fix hebt geinstalleerd, maar niet hebt gereboot, dan geeft deze test ten onrechte aan dat je veilig bent. Je moet per se rebooten nadat je de fix hebt geinstalleerd.)

Voor als je CPU hardware DEP ondersteund, zie:
http://sunbeltblog.blogspot.com/2005/12/microsoft-clarifies-dep-issue. html
http://www.viruslist.com/en/weblog?weblogid=176771047

Andere nuttige links:
http://castlecops.com/article6436.html
http://www.grc.com/groups/securitynow:423
http://isc.sans.org/diary.php?storyid=999

edit:
Mijn andere reactie op 'paazei' en 'dwar' ook maar even in deze post gezet omdat de reactie van paazei naar 0 is gemod:

Je kunt al worden besmet zonder ergens op te kliken of zonder dat het plaatje wordt gerendert. Als een besmet plaatje wordt geparst ben je al besmet!!!

Parsen kan bijvoorbeeld door:
- een directory te openen waar het plaatje in staat met thumbnail weergave.
- Firefox en Opera renderen het plaatje niet. Maar als je Google Desktopsearch hebt, dan is het indexeren van je browsers cache al voldoende om besmet te worden!

In beide gevallen ben je besmet zonder dat het plaatje wordt gerendert! Omdat de aanvaller volledige controle krijgt over je PC (ongeacht of je als admin werkt of als limited user!) kan er dus bv. een rootkit of een secure shell worden geinstalleerd zonder dat je het door hebt!

edit2:
Naar aanleiding van terugkerende vragen "Hoe weet ik of ik besmet ben?" en "Hoe kom ik er weer van af?" Voor alle duidelijkheid: het gaat hier niet om een virus! Het gaat hier om een algemene vulnerabilty die de aanvaller complete controle over je PC geeft. Er is dus (helaas!) ook geen standaard manier om je PC weer schoon te krijgen als je besmet bent. Er is ook geen standaard manier om te kijken of je besmet bent! Het hangt er dus maar net van af wat de aanvaller heeft gedaan nadat deze de controle over je PC heeft gekregen.

Als je PC ineens raar gaat doen (zoekbalkjes installeren, tig popups openen of iets dergelijks) heb je eigenlijk geluk. Het is dan tenminste zichtbaar. Maar de aanvaller kan net zo goed een rootkit of een secure shell installeren zonder dat je dus ook maar IETS merkt. Dat is nog veel gevaarlijker.

Ik heb dus geen pasklare oplossing. Mogelijk helpen de Rootkitrevealer en de Process Explorer van sysinternals je iets verder.
http://www.sysinternals.com/utilities/rootkitrevealer.html
http://www.sysinternals.com/Utilities/ProcessExplorer.html