Trojan é executado automaticamente ao visualizar arquivos wmf

03 de Janeiro de 2006

030106 Foi detectado um exploit ativo, que permite a execução docódigo malicioso pelo simples fato de visualiz

03-01-06 - Foi detectado um exploit ativo, que permite a execução do código malicioso pelo simples fato de visualizar um arquivo com extensão WMF em uma pasta do windows com visualização prévia ativa, ou simplesmente pela visualização de uma página da web via internet. O maior perigo é que não é preciso clicar em nenhum arquivo para que ele seja executado.

Belo Horizonte, 02 de janeiro de 2006 - A Protagon® Data Security / ESET® Software Brasil, fornecedora de soluções em segurança de dados, anunciou hoje a aparição de um novo trojan capaz de se auto executar ao visualizar um certo tipo de arquivo do windows, e que começou a ser enviado massivamente em mensagens de e-mail a partir do dia 28 de dezembro.

O exploit possui uma vulnerabilidade no processamento de arquivos e imagens WMF (Windows Metafile), que permite a execução remota do código no sistema. Qualquer programa que processe imagens WMF no equipamento infectado pode estar vulnerável a um ataque.

Deste modo, não somente os usuários do Internet Explorer estão vulneráveis, como também quem utiliza outros navegadores, tais como o Firefox.

O NOD32® detecta por meio de sua heurística, sem a necessidade de atualização, o código malicioso executável que tenta se abrir. Para o exploit em si, foi lançada a vacina 1.1342 que o neutraliza diretamente.

Aconselhamos precaução extrema na hora de abrir anexos, páginas da Internet ou pastas compartilhadas pelos programas P2P que contenham arquivos WMF.

Quem utiliza um firewall que detecta tentativas de conexão do PC com o exterior será avisado da tentativa de conexão de um arquivo e de um determinado site da Web, que em nossas primeiras provas teria o nome de A.EXE (pode ser modificado pelo autor em futuras versões, e é válido para o primeiro exploit detectado).

Neste caso, o arquivo A.EXE, de 6,641 bytes, pode se auto copiar no diretório do windows e na pasta de arquivos temporários, com o atributo de oculto. No caso de receber este alerta, deve-se negar a conexão. Logo, através do Administrador de tarefas do Windows (CTRL+ALT+SUPR) procura eliminar o processo chamado "a.exe".

Também deve-se apagar os seguintes arquivos:

c:windowsuniq
c:windowskl.exe

Quem utiliza o NOD32®, o antivírus impedirá a execução do arquivo citado, protegendo-os da possibilidade de infecção.

O NOD32® o detecta como variante do Win32/TrojanDownloader.Small.AOD

O exploit propriamente dito é detectado pelo NOD32® como Win32/TrojanDownloader.Wmfex

?? importante notar que as provas em nosso laboratório foram realizadas com um Windows XP SP2 com todas as atualizações do dia, incluindo o MS05-053, que teoricamente solucionava o problema de execução do código malicioso mediante imagens WMF/EMF (896424), e que foi publicado pela Microsoft em novembro passado. Mais tarde foi comprovado que o exploit se baseou em uma vulnerabilidade totalmente nova.

A vulnerabilidade afeta todos os computadores que executam o Windows XP (SP2 incluído) e o Windows Server 2003 (SP1 incluido).

Por outro lado, nunca é demais lembrar que este alerta é algo totalmente real. Pedimos muita precaução na hora de navegar e não fazê-lo por sites desconhecidos, mantendo as atualizações do antivírus em dia. Até agora nem todos os antivírus detectam o exploit e suas variantes.

Descrições sobre os códigos maliciosos aqui listados podem ser encontrados em EnciclopediaVirus.com.

Sobre a Protagon

A PROTAGON® DATA SECURITY / ESET® Software Brasil é fornecedora de soluções em segurança de dados para empresas e consumidores, nas quais se destaca o premiado antivírus NOD32, que fornece total proteção contra vírus conhecidos e desconhecidos, spyware e códigos maliciosos em geral. Fundada em 1996, com sede em Belo Horizonte, a PROTAGON® também fornece outros softwares na linha de proteção de dados que representam o estado-da-arte no combate contra todas as variedades de códigos maliciosos e ataques virtuais, sempre contando com a parceria de laboratórios internacionais. Informações sobre a empresa na Internet: www.protagon.com.br