Infettato WMF da Google AdSense?

**pvpn** · 04-01-2006, 23:49

Ok... non sono stato infettato solo per fortuna. Ma se avevo explorer sarebbe successo. E pensare che ho cliccato su un AdSense insospettabile di un sito rispettabile e il click andava ad un operatore normale.

Ho documentato la storia qui

VVoVe:

**LUCASS** · 05-01-2006, 00:15

alla fine non centra molto firefox o ie per una falla che è del sistema operativo

**pvpn** · 05-01-2006, 00:18

Beh... IE apre prima di chiedere. Firefox chiede prima di aprire. C'è una bella differenza ti pare?

La cosa che mi fà rabbrividire è che la microsoft abbia rilasciato un formato nel quale è previsto un call-back ad un codice contenuto nel formato stesso (ovvero... credo che abbiamo appena scoperto una delle backdoor di zio bill che ora passa per vulnerabilità).

Boh.

**LUCASS** · 05-01-2006, 00:22

IE non apre prima di chiedere non penso propio,il broser va configurato e vedi che non apre niente se tu non clicchi per aprirlo

**pvpn** · 05-01-2006, 00:40

Forse non nelle ultime versioni. Ma il coso del WMF è li da Win98 in poi...

L'effetto in IE attuale è un pò diverso. Dice che era partito un download e che è stato bloccato, ma non ho modo di vedere perché (Se vuoi provare www.clevery.it, ma occhio).

Se gli si permette di "scaricarlo" viene aperta una finestra che mostra il download da http://searchingwww.net/test.wmf.

Il problema è che viene mostrata una icona di immagine con la richiesta di Aprire o Scaricare il file. Scommetto che il 90% della gente farebbe aprire questa "immagine".

Comunque... il punto dell'articolo era un'altro. Il fatto che è possibile restare infetti da una sorgente rispettabile come google.

**LUCASS** · 05-01-2006, 00:47

Non posso provare effetivamente, comunque ie non lo apre senza che io clicco su apri basta mettere il livello su "Alto"

ciao

**amvinfe** · 05-01-2006, 01:06

Originariamente inviato da pvpn
Forse non nelle ultime versioni. Ma il coso del WMF è li da Win98 in poi...

anche da prima

La Microsoft ha annunciato che il 10 gennaio verrà rilasciata la patch per correggere il problema, c'era comunque disponibile da giorni una patch non ufficiale che correggeva il problema http://handlers.sans.org/tliston/wmffix_hexblog13.exe
al 31.12.2005 erano comunque motli gli antivirus che riconoscevano tutte le 73 varianti di trojan che sfruttano questa vulnerabilità. Riporto solo per completezza i dati relativi a tale data:

Alwil Software (Avast)
Softwin (BitDefender)
ClamAV
F-Secure Inc.
Fortinet Inc.
McAfee Inc.
ESET (Nod32)
Panda Software
Sophos Plc
Symantec Corp.
Trend Micro Inc.
VirusBuster

Altri antivirus ne riconoscevano molti meno, Norman addirittura nessuna:

62 — eTrust-VET
62 — QuickHeal
61 — AntiVir
61 — Dr Web
61 — Kaspersky
60 — AVG
19 — Command
19 — F-Prot
11 — Ewido
7 — eSafe
7 — eTrust-INO
6 — Ikarus
6 — VBA32
0 — Norman

la differenza sta sostanzialmente in una buona o meno euristica del software capace di riconoscere le diverse varianti di codice maligno.

**holifay** · 05-01-2006, 02:34

Originariamente inviato da amvinfe
La Microsoft ha annunciato che il 10 gennaio verrà rilasciata la patch per correggere il problema, c'era comunque disponibile da giorni una patch non ufficiale che correggeva il problema http://handlers.sans.org/tliston/wmffix_hexblog13.exe

che bello, la patch provvisoria di hexblog non è compatibile con il mio NT4.0... e io che sto morendo dalla voglia di aprire questo test.wmf

edit: che comunque confermo essere infetto:

**LUCASS** · 05-01-2006, 14:10

La pacht la settimana prossima forse

test aggiornati antivirus

AV-Test tested 206 variants and the following products detected all 206:
(Av test ha testato 206 varianti,di seguito riportati gli antivirus che hanno rilevato tutte le 206 varianti)
* Avast!
* BitDefender
* ClamAV
* eSafe
* eTrust-VET
* eTrust-VET (BETA)
* F-Secure
* F-Secure (BETA)
* Kaspersky
* McAfee
* McAfee (BETA)
* Nod32
* OneCare
* Panda (BETA)
* Sophos
* Symantec
* Symantec (BETA)

Unfortunately some, including some well-known ones, missed quite a few. These are the products that missed some and the number they missed:
(Purtroppo alcuni antivirus inclusi quelli famosi,non hanno rilevato alcune variante,questi sono gli antivirus che hanno avuto delle mancanze con affianco il numero delle varianti non rilevate)
* Fortinet 18
* Fortinet (BETA) 18
* AntiVir 24
* eTrust-INO 25
* eTrust-INO (BETA) 25
* Panda 25
* Ikarus 26
* Norman 26
* Ewido 47
* AVG 59
* Trend Micro (BETA) 60
* VirusBuster 61
* QuickHeal 63
* Trend Micro 63
* Dr Web 93
* VBA32 110
* Command 119
* F-Prot 119
(BETA) refers to beta definitions, as opposed to the release-level ones.
(si riferiscono alle firme virali(aggiornamenti)beta quindi non ancora definitivi)

http://blog.ziffdavis.com/seltzer/ar.../04/39774.aspx

**thomas_anderson** · 05-01-2006, 17:26

http://forum.diodati.org/messaggi.asp?f=3&id=5467

Ecco un esempio nella pratica. ciao

Confermo quanto detto da Lucass: per navigare con IE è necessario smanettare prima con le opzioni internet. Comunque credo che se si sta attenti si arriverà (IE o meno) al 10 gennaio senza troppi danni.

Discussione: Infettato WMF da Google AdSense?

Strumenti discussione

Ricerca discussione

Visualizza

Infettato da WMF tramine Google AdSense :-(

Non proprio

Permessi di invio