E' stata scoperta una vulnerabilita' nell' oggetto che effettua il rendering delle immagini in Windows. L'exploit puo' essere sfruttato attraverso i WMF file (Windows Metafiles). Alcuni Trojan downloaders, disponibili su unionseek[DOT]com, stanno utilizzando questa vulnerabilita'. Non esiste ancora una patch, di conseguenza anche i client Windows XP sp2 completamente aggiornati risultano vulnerabili.

L'exploit viene tuttora utilizzato per distribuire i seguenti oggetti:
Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev.

Alcuni di questi installano programmi hoax anti-malware come Avgold

L'infezione del sistema e' possibile anche solo visitando un sito web che abbia un'immagine contenente l'exploit. A quanto pare, gli utenti Internet Explorer vengono infettati automaticamente; gli utenti Firefox potrebbero essere infettati nel caso in cui decidessero di eseguire o scaricare il file immagine.

Alcuni test (su Windows XP sp2) denotano che le vecchie versioni di Firefox (1.0.4) di default aprono i files WMF con "Windows Picture and Fax Viewer", risultato vulnerabile. L'ultima versione (1.5) utilizza invece Windows Media Player, che non e' vulnerabile. Potrebbe pero' essere un bug di Firefox, dato che Windows Media Player non e' in grado di visualizzare i file WMF. Anche Opera 8.51, di default, apre il formato WMF con "Windows Picture and Fax Viewer". Tutte le versioni di Firefox ed Opera chiedono conferma all'utente prima di lanciare il file.

Per precauzione, consigliamo agli amministratori di bloccare l'accesso a
unionseek [DOT] com
Crackz [dot] ws
www.tfcco [dot] com
Iframeurl [dot] biz
beehappyy [dot] biz
e di filtrare tutti i file WMF a livello di proxy HTTP e sul protocollo SMTP.

F-Secure Anti-Virus rileva i file WMF maligni come W32/PFV-Exploit (W32/PFV-Exploit.A, .B, .C) con l'aggiornamento 2005-12-28_01.

E' auspicabile che Microsoft rilasci al piu' presto una patch per questo problema.

Rilevazione:

Il worm viene rilevato con i seguenti aggiornamenti delle impronte virali:
Version=2005-12-28_01

Dettagli tecnici: Mika; 28 Dicembre 2005

F-Secure Corporation

Update 29/12/05

Windows XP, per eseguire i file WFM, non controlla l'estensione bensi' si basa sul contenuto del file ("magic byte"). Quindi, se arrivasse un file WMF con estensione modificata, sarebbe ugualmente eseguito. Potrebbe percio' non essere sufficiente bloccare i file WMF, a livello perimetrale, controllando solamente l'estensione del file.

Consigliamo di controllare il sito web di "Internet Storm Center", al seguente link, per avere informazioni aggiornate sulla vulnerabilita'.

http://isc.sans.org/diary.php?date=2005-12-28