Windows: Falha Crítica de Segurança com arquivos WMF

Foi recentemente anunciado uma grave falha de segurança na exibição de arquivos Windows Meta File que permite executar programas remotamente e vários websites de propaganda estão se aproveitando totalmente dela, instalando programas automaticamente e alterando configurações de usuários. Essa falha afeta todas as versões do Windows, incluindo os servidores.

Engraçado é que mesmo usando DOS, você pode ser infectado se fizer o download do arquivo caso o Google Desktop esteja instalado. A F-Secure reportou isso, usando o comando WGET para baixar o arquivo. Eles recomendam ou se livrar do Google Desktop ou desativar indexação de arquivos de mídia.

Basta visitar um website que explore essa falha e o computador é imediatamente infectado. Usuários que usam Firefox e Google Desktop também serão infectados por causa da indexação, já que ele chama o componente SHIMGVW.DLL, onde começa toda a lambança: é o Windows Picture and Fax Viewer. Ainda não há correção para essa falha e já existem milhares de websites infectando computadores de usuários. A Microsoft lançou um alerta e continua investigando. Se você ainda não tem, recomenda-se a instalação de um programa anti-spyware imediatamente.

Uma das maneiras que esses gatunos encontraram de enganar os usuários foi exibir um alerta de spyware como se fosse um serviço do Windows e redirecionam para a instalação de um programa. Imagens aqui.

A F-Secure reporta que essa falha está sendo usada para instalar os seguintes Trojans:
Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev

O que fazer até a correção?
(Copiado e traduzido do alerta liberado pela Microsoft)
Suggested Actions > Workarounds > Descadastrar o Windows Picture and Fax Viewer (Shimgvw.dll) no Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 e Windows Server 2003 Service Pack 1

Nota Os passos seguintes requerem privilégios Administrativos.

Para descadastrar o Shimgvw.dll, siga os seguintes passos:

1. Clique Iniciar, Executar, digite “regsvr32 -u %windir%\system32\shimgvw.dll” (sem as aspas), e então clique OK.

2. Uma caixa de diálogo aparece para confirmar que o processo de descadastramento teve sucesso. Clique OK para fechar a caixa.

Impacto dessa contra-medida: O Windows Picture and Fax Viewer não será mais inicializado quando os usuários clicarem num tipo de imagem associado a ele.

Para desfazer essa alteração, recadastre o Shimgvw.dll seguindo os mesmos passos acima. Altere o texto do passo 1 com ?regsvr32 %windir%\system32\shimgvw.dll? (sem as aspas).

Update 30/12/2005 (12:23h):
Até mesmo websites que possuam banners rotativos de terceiros estão infectando as máquinas de usuários. Ou seja, não apenas websites de conteúdo, digamos, nebuloso está infectando máquinas, mas outros, com conteúdo normal e que possuem anúncios. Redes de anunciantes inteiras estão infectadas e espalhando vírus e trojans.

A F-Secure reportou que pelo menos 57 variantes da mesma falha já foram encontrados.

Fonte: EWeek

Aproveite nossos cupons de desconto:

Cupom de desconto Walmart, Cupom de desconto Ricardo Eletro, Cupom de desconto Extra, Cupom de desconto Adidas, Cupom de desconto Submarino, Cupom de desconto Americanas, Cupom de desconto Casas Bahia