Cerca nel blog

2005/12/29

Sicurezza, anche le immagini possono veicolare virus: guarda un’immagine sul Web e t’infetti

Questo articolo vi arriva grazie alle gentili donazioni di "riccardo.camp***", "Noris.Trave***" e "arkadyn". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento ore 16:30.

F-Secure ha annunciato ieri (28 dicembre 2005) una falla estremamente grave in Windows, che consente di infettare un computer Windows semplicemente visitando un sito Web appositamente confezionato e contenente un'immagine, oppure ricevendo un e-mail e visualizzando l'immagine che vi è contenuta.

Al momento in cui scrivo, Microsoft non ha ancora distribuito un aggiornamento (patch) che corregga la falla, che colpisce Windows XP anche se dotato di tutti gli aggiornamenti di sicurezza finora rilasciati. L'avviso ufficiale di Microsoft è disponibile presso Microsoft Technet (in inglese).

Numerosi siti (alcuni sono indicati nella pagina di F-Secure), specialmente quelli porno e dedicati ai programmi pirata, stanno già usando questa tecnica di attacco per infettare i computer Windows con ogni sorta di spyware e altro software ostile, compresi programmi per controllare da remoto i computer delle vittime e programmi che fingono di essere antispyware e chiedono soldi (tramite carta di credito) per eliminare l'infezione trovata nel computer.

Il sito di sicurezza Websense ha delle schermate e un filmato che mostrano il comportamento di un Windows infettato tramite questa falla, basata sull'uso di immagini nel formato WMF (Windows Metafile, da non confondere con i video in formato WMV).

La falla è particolarmente grave e interessante perché colpisce anche gli utenti Windows che usano browser alternativi come Firefox o Opera. L'unica differenza, piuttosto importante, è che mentre chi usa Internet Explorer viene infettato direttamente appena visita il sito-trappola, chi usa i browser alternativi viene avvisato da un messaggio di allerta e s'infetta solo se risponde affermativamente al messaggio. Anche la semplice visualizzazione di una cartella contenente un'immagine infetta tramite Esplora Risorse o il Fax Viewer di Windows è sufficiente a infettare.

Sono a rischio gli utenti di Windows XP, ME, 2000 e Server 2003. A quanto mi risulta finora, gli utenti di altri sistemi operativi non sono colpiti da questa falla.

Aggiornamento (16:30): secondo il bollettino Microsoft, sono a rischio anche gli utenti di XP Pro x64, Server 2003 x64, Windows 98 e 98 SE.


Il problema nasce dalla natura particolare del formato grafico WMF, che fu introdotto da Microsoft in Windows 3.0: invece di rappresentare i singoli punti di un'immagine, contiene una serie di istruzioni di disegno che spetta al sistema operativo interpretare (è un esempio di formato di grafica vettoriale, insomma). Purtroppo le istruzioni possono essere confezionate in modo maligno e Windows non è capace di bloccare queste istruzioni ostili.

Un altro aspetto di particolare interesse della falla è che chi ha Google Desktop è ancora più vulnerabile. Per infettarsi, in questo caso, è sufficiente scaricare l'immagine WMF infetta. Google Desktop, infatti, indicizza e legge subito il file scaricato e ne passa il contenuto infettante a Windows, che lo esegue automaticamente. Secondo F-Secure, su un PC Windows dotato di Google Desktop l'infezione ha luogo persino se si scarica il file usando una finestra DOS (tramite per esempio Wget) e anche se il file infetto non ha l'estensione WMF nel nome ma è comunque scritto nel formato WMF.

Per il momento, in attesa che Microsoft rilasci un aggiornamento che corregga la falla, è opportuno bloccare l'interpretazione delle immagini WMF.

Sunbelt, per esempio, consiglia di disabilitare il componente fallato di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate:
REGSVR32 /U SHIMGVW.DLL

Dopo di che riavviate Windows.

La disabilitazione è permanente fino a quando date il comando di riabilitazione, che è:
REGSVR32 SHIMGVW.DLL

Sunbelt avvisa che questo rimedio interferisce con la visualizzazione di tutti i tipi di immagine nel visualizzatore fax e immagini di Windows, quando viene invocato da Internet Explorer: in altre parole, può risultare piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti).

Sans suggerisce inoltre di applicare la funzione DEP del Service Pack 2 a tutti i programmi. Se non avete idea di cosa sia DEP, chiedete a un esperto di farlo per voi.

Mi raccomando, prudenza!

21 commenti:

xf ha detto...

Bello il video! Finalmente vedo come funziona un virus/malware visto che da una decina di anni a questa parte non ne prendo...
Scherzi a parte stavolta sembra davvero serio come problema e anche se personalmente non me ne devo preoccupare (da qualche mese sono passato stabilmente a GNU/Debian dopo anni di Microsoft) credo che manderò l'articolo a tutti gli amici e conoscenti.
È la prima volta che scrivo e ne approfitto per ringraziarti per tutti questi anni di cattura-bufale ;)

Anonimo ha detto...

Facile infettare gli altri.
Ecco alcuni metodi :

- Inserire il file con qualche nome nei P2P e confidare che l'altro usi google desktop search o simili
- Inserire il WMF come avatar nel forum più odiato e vedere il numero di utenti connessi.. ahem cadere :) a meno che non sia un forum che spiega come formattare ;)

Marco M.

Anonimo ha detto...

Avevo già visto cose del genere...
chiedo però: come fai ad accorgerti se hai il virus sul PC?
Non ci sono ancora le patch, ma è possibile rimuoverlo?
Queste sono le risposte che servono ai poverini... non addetti ai lavori!
Paolo, dacci una mano. I virus li vogliamo... acchiappare!

Grazie ancora per la tua opera meritoria.

Guido

Gacattos ha detto...

Sempre aggiornatissimi a seguirti Paolo!
Per fortuna che Firefox prima di infettare chiede.
Il Pandantivirus è reattivo come consuetudine:
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=102674&sind=0

Ertagus ha detto...

A me piace giocare col fuoco ed ho digitato nel browser (Firefox) l'esempio mostrato nel video, volevo vedere quale sarebbe stato il messaggio di avvertimento del Firefox ma... "Avast!" lo ha bloccato ancora prima di scaricarlo... uffa non ci si può divertire un po'!

Gacattos ha detto...

@Marco M.
Posso capire che vi siano responsabili dei forum più o meno simpatici, ma perchè colpire indiscriminatamente tutti gli utenti del forum?
Sicuramente la maggioranza degli utenti sono bravi ragazzi....
Che so, hackera il computer del responsabile che trovi antepatico, recati sotto casa sua e strofinati alla sua auto con un oggetto appuntito....
ma perchè colpire nel mucchio??
Per ogni buon conto ho disattivato la visualizzazione degli avatar in un sito.....a rischio, non si sa mai.

Gacattos ha detto...

@Guido
Per verificare se il virus è presente sul computer e per una eventuale rimozione occorre eseguire una scansione di tutti i files del computer.
Tale scansione può essere fatta o da una aggiornatissima versione antivirus installata sul computer oppure collegandosi al sito di un serio aggiornato antivirus ed eseguirla online.
In entrambi i casi se trovato il virus sarà rimosso.

Anonimo ha detto...

x gacattos :
Erano esempi di rischi non valutati dai siti che danno le informazioni, non cose che voglio fare, ci mancherebbe..

Comunque di gente ansiosa di sparare nel mucchio ce n'è molta. I forum tipicamente contengono persone con caratteristiche comuni, che molti possono non condividere e che molti pensano sia loro diritto attaccare.. è facile immaginare ad esempio che qualche idiota poco tollerante possa pensare che infettare in un sol colpo un forum di omosessuali o di estremisti di qualsivoglia ideologia o che so altro sia una buona idea , soprattutto quando per inviare l'attacco basta avere accesso ad un browser per 2 minuti [usando un internet point anonimo è piuttosto facile non farsi beccare].

[Visto che l'equivoco è facile : non ho nulla contro gli omosessuali: sono però un esempio come risposta a "perchè colpire nel mucchio??" : forum visitati pricipalmente da persone appartenenti a quelle che chiamiamo (a ragione o torto) minoranze, sono perfetti esempi di forum potenzialmente bersaglio di gente che vuole colpire nel mucchio]

Marco M.

Gacattos ha detto...
Questo commento è stato eliminato da un amministratore del blog.
Alberto Gaudio ha detto...

Ho dovuto combattere con questo maledetto virus sul PC di un parente. Non viene riconosciuto da antivirus come panda o norton. per fortuna rovistando nell'archivio del blog di paolo ho trovato la soluzione : scaricatevi l'antivirus "VirIt" da questo indirizzo dove vengono peraltro descritte le caratteristiche. http://www.virit.com/startup/scheda.asp?num=2161
io ho risolto così ed il mio parente se l'è cavata con qualche insulto da parte di amici ai quali ha spedito mail inconsapevolmente!
spero di esservi stato di aiuto
Buon anno
Ciao!
Alberto

Gacattos ha detto...

@Marco M.
Frequento prevalentemente forum tecnici inerenti il computer.
Non avevo valutato l'ipotesi dei forum utilizzati da ristrette cerchie di persone.
Certi forum rischiano e molto.....
hai ragione Marco bastano pochi minuti da un internet cafè per colpire l'"odiato" mucchio. Potenza di Windows....almeno fino a quando non riscriveranno i sorgenti.
Per me sono le persone che contano, non i gruppi di appartenza.
Si finirà sempre col trovare persone buone e cattive in QUALSIASI gruppo.
Ma non tutti la pensano così, considerazione giustissima la tua Marco, non ci avevo pensato.

Anonimo ha detto...

Io ho preferito usare un altro metodo.
Da Risorse del computer sono andato a Tipi di files e ho detto a windows di aprire tutti i files WMF mediante Blocco Note. Funzionera'? Speriamo. Manterro' così il computer finche' Microsoft non si deciderà a patchare.
Ciao e grazie a Paolo per la sua celerità nell'avvertire la comunità.

Alberto Gaudio ha detto...

...ehm scusate, il messaggio precedente era da inserire nell'argomento "virus natalizio".
...anche i mediocri possono sbagliare...
buon anno
ciao!

Anonimo ha detto...

Ciao ragazzi,credo di aver dentro il pc questo Troyan Vcodec di cui parlate .Nn riesco ad eliminarlo ne con ANTIVIR ne con VIRIT . SPYBOT lo rileva,sembra eliminiarlo, ma poi riappare,che devo fare ? è il caso di seguire la procedura x disattivare il file, come consigliato da Microsoft dopo che l'intruso è già dentro?

Saluti e buon anno for all
aemilius 58

Gacattos ha detto...

@eamilius 58
Non credo che chiudere la stalla dopo che sono scappati i buoi possa servire a qualcosa.
Per la rimozione ti consiglio di leggere http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=sol&idvirus=102841
Auguri di Buon Anno!

Anonimo ha detto...

salve qui potete vedere una classifia di antivirus che beccano ste porcherie:

http://www.eweek.com/article2/0,1759,1907102,00.asp?kc=EWRSS03129TX1K0000614

ciao
MN

puffolotti accident ha detto...

io ho una curiosita' su queste cose... ma la polizia postale di un paese non dovrebbe andare dalla ditta del anti spyware consigliato dall' infezione con una grossa mazza da baseball?

Paolo Attivissimo ha detto...

per Puffolotti: Non è così semplice. Bisogna prima provare il legame fra il virus e l'antispyware in questione.

Metti che un concorrente di Norton s'inventi un virus che reclamizza Norton... non sarebbe carino andare con una mazza da Norton :-)

Ciao da Paolo.

puffolotti accident ha detto...

vivo a tel aviv, paolo. ho una mezza idea di questo tipo di cose.

stupidamente mi son lasciato andare ad uno sfoghettuccio piccolo piccolo che spero vorrai considerare uno sfogo in senso lato.
voglio dire: sapendo chi e' il responsabile saria da fargli un multone modello "promemoria amichevole"
ma solo a lui

Anonimo ha detto...

Esiste una patch non ufficiale al problema wmf.

http://isc.sans.org/diary.php?storyid=999

la patch è realizzata da Ilfak Guilfanov

eleonora ha detto...

Vorrei capire cosa succede se prendo questo virus.. (oltre alle schermate ke ho già visto) qualcuno mi sa dire altro? grazie....