[Viren/Trojaner] WMF-Bilder infizieren alle Windows-PCs!

[Gamma-Ray]

WMF-Bilder infizieren alle Windows-PCs!

Gerade gelesen bei Heise:

Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll.

zum Artikel

Wie wichtig es doch ist, nicht als Admin auf einem PC sich anzumelden.

 

[Brummelchen]

Viel wichtiger ist es, den IE erst gar nicht nach aussen zu lassen.
Der IE und der Explorer gehören gesperrt (in einer Firewall), stattdessen
besser einen alternativen Browser benutzen

 

[JensusUT]

Viel wichtiger ist es, den IE erst gar nicht nach aussen zu lassen.

Kennst du die Geschichte mit den Windmühlenflügeln?

 

[Brummelchen]

Ne, nicht so wirklich - erzähl mal

 

[Brummelchen]

Leute, nehmt das WMF Loch bitte ernst...
ich hatte gestern diese Erfahrung, dass ich so eine Datei auf meinem
Rechner liegen hatte.

Es reicht, wenn man sie im Explorer markiert !!!

Der Explorer will sich darauf hin ohne Nachfrage ins Internet verbinden
und lädt EXE, DLL, HTML etc herunter, installiert irgendwelchen Dreck,
nistet sich im Autostart ein, verhindert den Taskmanager, verändert
euren Desktop...

Ihr werdet den Scheiss ohne erheblichen Aufwand nicht mehr los !!!

Noch was zu NOD, falls ihr nicht schon alle Erweiterungen scannt, dann
schreibt den Typ WMF in die Liste der zu prüfenen Erweiterungen.
Ich kann es euch nur dringenst raten.

PS Hauptbenutzer oder Poweruser reichen auch schon.

PPS Reportliste der letzten 24 Stunden
http://www.bitdefender.com/site/VirusInfo/realTimeReporting/1/wks

Zum Workaround "regsvr32 /u shimgvw.dll"
http://antivirus.about.com/

Der Trick ist schon ziemlich alt
http://www.unawave.de/windows_xp_einstellungen.html
Aber es bewirkt leider auch, dass ausser BMP keine weiteren Bilder mehr
für den Desktop benutzt werden können und auch in der Vorschau
für Grafik-Ordner fehlen. Also bitte nicht über die Nebenwirkungen wundern.

 

[JensusUT]

Noch was zu NOD, falls ihr nicht schon alle Erweiterungen scannt, dann
schreibt den Typ WMF in die Liste der zu prüfenen Erweiterungen.
Ich kann es euch nur dringenst raten.

Wichtig ist es, den Viren-Scanner beziehungsweise -Wächter so einzustellen, dass er alle Dateien unabhängig von der Dateiendung untersucht. Denn auch wenn die Bilder eine andere Endung tragen, sich also beispielsweise als JPG-Bild tarnen, erkennt Windows den Dateityp WMF und aktiviert den verwundbaren Windows Picture and Fax Viewer. Da derzeit die meisten infektiösen Websites noch mit der Dateiendung WMF arbeiten, ist es jedoch durchaus sinnvoll, dieses Dateiformat auf Web-Proxies von Firmen vorläufig zu blockieren, auch wenn das natürlich keinen echten Schutz verspricht.

Heise

 

[Gamma-Ray]

Golem meldet was von einem "Inoffiziellen Patch gegen WMF-Sicherheitslücke"

Meldung

 

[Dreamer]

Der Link zu hexblog.com auf GOLEM funktioniert bei mir nicht.

Winfuture bringt diese Meldung auch.

Das Internet Storm Center (ISC) hat den Patch verifiziert und für Windows XP und 2000 seine Wirksamkeit bestätigt.

Hier (ISC) kann man's nachlesen und runterladen.

Oder den Direktdownload nutzen.

 

[---rOOts---]

Zusätzlich zum Installieren des inoffizieller Patch von IDA Pro, Ilfak Guilfanov,
empfiehlt es sich, vollgenden Workaround anzuwenden!

Abhilfe:
Microsoft hat das Problem bestätigt und beschreibt in einem Advisory einen Workaround.
Demnach sollten Anwender auf PCs mit Windows XP und Server 2003 den Windows Picture
and Fax Viewer (Shimgvw.dll) mit dem Kommandozeilenbefehl

regsvr32 -u %windir%\system32\shimgvw.dll

deaktivieren.

Dies lässt sich beim Erscheinen eines Patches wieder rückgängig machen:

regsvr32 %windir%\system32\shimgvw.dll

Zusätzlich empfiehlt sich das Aktivieren der " Datenausführungsverhinderung ", wenn
das System über einen 64bit-Prozessor verfügt.
Entgegen früheren Annahmen schützt das Aktivieren der "Datenausführungsverhinderung"
für 32bit-Prozessoren (die sogenannte "Software-DEP") nicht vor dieser Lücke!

Anmerkung:
Nach der Veröffentlichung des offiziellen Updates von Microsoft,
kann die "Windows Bild- und Faxanzeige" über den Befehl

regsvr32 %windir%\system32\shimgvw.dll

wieder aktiviert werden.
Ferner sollte der evtl. installierte inoffizielle "Patch" von Ilfak Guilfanov
über "Software" in der Systemsteuerung deinstalliert werden
("Windows WMF Metafile Vulnerability Hotfix").


.

 

[---rOOts---]

Schlechte Nachricht für Win 9x benutzer!

Wenn du noch immer Win98/ME benutzt, dann ist dies der Moment der Entscheidung.
Wir glauben (ungetestet) das dein System verwundbar ist und es keinen Patch von Microsoft geben wird.
Die Verringerungsoptionen sind sehr limitiert. Du solltest unbedingt auf ein moderneres System aufruesten.

 

[---rOOts---]

Unter dem folgenden Link gibt es eine deutsche Übersetzung eines vom
"SANS Internet Storm Center" publizierten Beitrags.
Er informiert sehr ausführlich über die tragweite dieses Bugs,
es sind ALLE Windowsversionen betroffen!

Rokop-Security

.

 

[---rOOts---]

WMF-Dateien bestehen im Gegensatz zu anderen Bildformaten nicht nur aus reinen Bitmap-Daten (Pixelkoordinaten mit Farbwerten). Sie können vielmehr auch Programm-Code enthalten, der mit der Grafikschnittstelle von Windows (GDI) interagieren kann. Die aktuellen Exploits nutzen eine so genannte Escape-Funktion in der Systembibliothek "gdi32.dll", durch die der Parameter SetAbortProc() aufgerufen wird. Darüber kann beliebiger Code geladen und ausgeführt werden. Das Problem liegt also eigentlich nicht in der "shimgvw.dll", sondern ist weit grundsätzlicher.

Die gdi32.dll ist auf 98er Systemen und ME auch vorhanden.

Da liegt der Hund begraben!

Bei Kaspersky sind sie auch schon auf diese Übersetzung aufmerksam geworden!

Die FAQ steht ab sofort auch als PDF File zum Download verfuegbar!!!

.

 

[Dreamer]

Microsoft stellt am 10. Januar einen Patch bereit:

Sicherheits-Update für WMF-Lücke zum Patch-Day
Microsoft hat heute das Security Adivisory KB912840, das sich mit der kürzlich bekannt gewordenen Lücke in der Verarbeitung von WMF-Bildern befasst, aktualisiert und angekündigt, am 10. Januar einen Sicherheits-Patch bereitzustellen, der das Problem beseitigt.

Quelle auf WinFuture

Microsoft Security Advisory (912840)

 

[JensusUT]

Trubel um inoffiziellen WMF-Patch

Der inoffizielle WMF-Patch von Ilfak Guilfanov ist offenbar sehr beliebt: Der Provider musste Guilfanovs Seite Hexblog aufgrund massiven Traffics vom Netz nehmen. Um die große Nachfrage trotzdem befriedigen zu können, hat er nun eine temporäre Seite aufgesetzt, auf der Download-Mirrors verlinkt sind. Dort ist inzwischen die vierte überarbeitete Version des Patches verfügbar; auch MSI-Installer zur Einrichtung des Patches etwa in Unternehmensnetzen stehen dort bereit.

In einem weiteren FAQ-Update des WMF-Security-Advisory rät Microsoft allerdings davon ab, Patches von Drittanbietern einzuspielen, da das Unternehmen keine Gewähr für deren korrekte Funktion übernehmen könne. Dass die eigenen Patches aus Redmond trotz intensiver Tests teilweise auch Probleme verursachen, erwähnt das Unternehmen in diesem Zusammenhang jedoch nicht.

In einigen Situationen scheint der Patch allerdings tatsächlich Probleme mit Druckern in Netzwerken zu bereiten. Es handelt sich dabei wahrscheinlich aber um schlampige Treiberprogrammierung bei dem betroffenen Samsung ML-1210 – einem Arbeitsplatz-GDI-Drucker, der eher nicht für Unternehmensnetze geeignet ist.

 

[JensusUT]

Das Ding zieht ja wirklich Kreise durch alle Medien.

RoKop:

Jetzt mal eine simple Frage: Mit einem Virenscanner bin ich aber geschützt? Da kann mir nichts passieren?

Das kommt darauf an, ob dein Scanner genau die Variante erkennt auf die du stösst bzw. ob die Heuristik es erkennt.

Solange du aber Firefox, Maxthon, einen richtig konfigurierten IE oder Opera, also einen Browser nutzt, der nachfragt was du mit dem Download machen willst, solltest du kein Problem haben.

WMF FAQ Deutsch von Remover (Rokop)

Heise: Virenschutz gegen WMF-Exploit [Update]:

Update:
Am 31.12. 11:00 hat sich die Situation weiter gebessert: AntiVir, Avast!, BitDefender, ClamAV, Command, Dr Web, eSafe, eTrust-INO, eTrust-VET, Ewido, F-Secure, Fortinet, Kaspersky, McAfee, Nod32, Norman, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten nun alle 73 Samples. Nur die Scanner von QuickHeal (11 nicht erkannt), AVG (13), F-Prot (54), Ikarus (67) und VBA32 (67) ließen immer noch infektiöse WMF-Dateien unbeanstandet passieren, obwohl die Hersteller von AV-Test mit Samples versorgt wurden. Außerdem warnt Marx, dass offensichtlich einige der Hersteller lediglich Signaturen für die von ihm verteilten Testexemplare gebaut hätten, aber keine generische Erkennung des Exploit-Mechanismus haben.

Heise: Weitere Details zur WMF-Lücke [Update]:

Die WMF-Sicherheitslücke und deren Auswirkungen beschäftigt weiterhin Anwender und Sicherheitsspezialisten. Offenbar nutzen mittlerweile tausende Web-Sites die Schwachstelle, um Ad- und Spyware zu verbreiten, über fünfzig verschiedene, präparierte WMF-Dateien sind dabei in Umlauf. Viele der WMF-Exploits installieren einen angeblichen Spyware-Spürhund, der regelmäßig Warnmeldungen produziert. Für die Entfernung der angeblich gefundenen Schädlinge soll man dann die Vollversion des Produktes erwerben.

Heise: Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check auf heise Security

SPON: GEFÄHRLICHE SICHERHEITSLÜCKE - Schnellverband für Windows

Für PC-Anwender ist die aktuelle "WMF"-Sicherheitslücke die Wiederholung eines Alptraumes. Nicht zum ersten Mal sehen sich Windows-Nutzer mit einem Sicherheitsleck konfrontiert, bei dem es schon genügt, eine Webseite nur zu besuchen, um den Rechner mit einem Trojaner zu infizieren. Knapp eine Woche nach dem Öffentlichwerden erster "Exploits" - quasi Anleitungen, wie ein Sicherheitsleck auszunutzen wäre - kursieren nun Lockmails, die zu entsprechend präparierten Seiten hinführen. (...)

Golem: Inoffizieller Patch gegen WMF-Sicherheitslücke

Nod32 erkennt momentan angeblich alle 73 bisherigen Varianten und bietet für Nicht-Nod32-Nutzer einen Patch

Kaspersky Antivirus Patch, damit WMF gescannt wird (Vorher auf die aktuelle Version 5.0.390 upgraden -> Personal&Pro

Microsoft-Sicherheitsempfehlung (912840)

 

[---rOOts---]

Neben dem inoffiziellen Patch von Ilfak gibts jetzt auch einen von Paolo Monti (NOD32 Italy)

Der soll auch auf Win98/ME funktionieren.

Paolo Monti has released a temporary patch for the WMF vulnerability ( see Microsoft Security Bulletin 912840 ).
This patch intercepts the Escape GDI32 API in order to filter the SETABORTPROC (function number 9).
It uses dynamic API hooks avoiding patching/modifying of the GDI32 code.
Advantages of this approach: fully dynamic - no reboot is required. This patch also works on Windows 9x/ME.
Administrator rights are required to install it on WinNT,2000,XP, 2003 systems.

Installation: unzip the file WMFPATCH11.ZIP and run the provided INSTALL.EXE file.
Follow the instructions of the installer.

Uninstallation: go into Windows Control Panel, Add/Remove Programs, select "GDI32 - WMF Patch"
and remove it.

.

 

[---rOOts---]

Klick mich!

WMF (SANS) FAQ V1.4 DEUTSCH​

.

 

[---rOOts---]

Heute Abend nun hat Microsoft ein Patch für besagte Lücke freigegeben.

Der Patch ist ab sofort im Microsoft Download Center verfügbar und kann unter folgenden Adressen für die entsprechenden Systeme bezogen werden:

Security Update for Windows XP (KB912919)
Security Update for Windows XP x64 Edition (KB912919)
Security Update for Windows Server 2003 64-bit Itanium Edition (KB912919)
Security Update for Windows Server x64 Edition (KB912919)

Weitere Informationen seitens Microsoft zur WMF-Lücke.

Anmerkung: Alle Anwender, die zwischenzeitlich eigene Maßnahmen zur Abischerung ergriffen haben, sei es durch Deregistrierung der entsprechenden Programmbibliotheken (DLLs) oder durch Installation des inoffiziellen Patches sollten, wie bereits erwähnt, diese Maßnahmen rückgänig machen.


.

 

[---rOOts---]

Update!

Es gibt kleine Änderungen! Hier geht es zu Microsoft​

.

 

[TBuktu]

KB912919 Setup-Fehler

Es wurde festgestellt, dass die auf diesem System installierte Version des Service-Packs älter ist als die für diesen Hotfix erforderliche Version

(die ich damals nicht installieren konnte, weil dem Update meine Reg.Nr. nicht gefiel)


Fuck you, Mr. Gates

best regards
Tim