В последнее время, ИТ инженеры усиленно работают над средствами по отражению атак, связанных с недавно открывшейся уязвимостью Windows Metafile (WMF), несмотря на то, что есть патчи сторонних разработчиков и официальная заплатка от Microsoft.

Ответы на часто задаваемые вопросы (FAQ), связанные с уязвимостью Windows Metafile (WMF) мы приводим далее.


В чём суть проблемы?

Действия, направленные на изменение работы WMF файлов, могут привести к заражению системы вредоносным кодом и программами-шпионами, которые воруют данные и передаю их по сети. Проблема существует уже несколько лет, но официально факт её существования, был признан лишь в декабре 2005 года.


Какие версии Windows наиболее уязвимы?

Microsoft признала, что угроза существует для всех версий Windows начиная с Windows’98. Зачастую речь идёт только о версиях Windows XP и Server 2003. В более полный список риска входят системы: Microsoft XP Pro, Microsoft XP Home, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, а так же Microsoft Windows Server 2003 Standard Edition.


Уязвимы ли ОС Mac, Linux и Unix?

Вопрос не уместен.


Насколько велика возможность заразиться в сети?

Количество лазеек для подобных вирусов трудно подсчитать. Например, не так давно на CastleCops.com, была опубликована информация о 73 известных слабых местах защиты ОС. Организация по отслеживанию вирусов Sophos, сообщает о 200 способах атак направленных на WMF.


Как распространяются эти вирусы?

Наиболее часто вирусы распространяются через файлы с изображениями или через почтовые сообщения. Так же через плохо защищённые сайты, подозрительные открытки, фальшивые системные сообщения и т.д. Организации по отслеживанию вирусов сообщают о случаях распространения независимой утилиты WMFMaker, которая мгновенно создавала заражённый WMF файл. Данная утилита использовалась злоумышленниками во время первой волны распространения вирусов.


Что происходит в компьютере в момент заражения?

Когда пользователь кликает на WMF файле, приложение обращается к библиотеке shimgvw.dll, которая в свою очередь обращается к функции Escape() в библиотеке gdi32.dll. Функция Escape() имеет особую подфункцию, которая называется SETABORTPROC, с её помощью пользователь может отменить процесс печати в момент спулинга через интерфейс выбранного приложения (спулинг – процесс обработки посылаемых на печать документов, которые сохраняются на диске до момента, когда печатающее устройство сможет их обработать). Вирус старается поразить подфункцию SETABORTPROC, в результате происходит переполнение буфера обмена данных и компьютер начинает работать в соответствии с вредоносным кодом, попавшим в WMF.


Какую роль играют библиотеки .dll и остальные функции?

Библиотеку Shimgvw.dll используют Windows Picture и программа просмотров изображений и факсов, они установлены в Windows по умолчанию. Ряд других приложений, в том числе Mozilla, так же обращаются в процессе своей работы к данной библиотеке.

Так же важна технология GDI (Windows Graphic Display Interface). Как объясняет Microsoft, GDI “устроена таким образом, что приложения могут одновременно оперировать с графическими изображениями и с форматированным текстом, а пользователь может сразу работать с ними на экране монитора и отправлять их на печать. Приложения, работающие в среде Windows, не взаимодействуют напрямую с устройствами вывода информации, вместо этого, GDI работает с драйверами этих устройств от имени приложения”.

Суть функции Escape() состоит в том, что она переносит команды из библиотеки GDI к драйверу определённого устройства, например, сканеру или принтеру.

SETABORTPROC обеспечивает совместимость между новыми версиями Windows и старыми 16-битными версиями, т.е. обеспечивает обратную или регрессивную совместимость.


Что происходит с компьютером после заражения?

В системе появляются вредоносные exe.файлы. Большинство таких файлов являются adware файлами или spyware файлами. Некоторые из них пытаются нарушить работу системы сразу или через некоторое время. Был зарегистрирован случай заражения троянским вирусом, который пытался открыть прокси сервер на произвольном TCP соединении.


В ноябре 2005 года была та же проблема?

Нет. Это была другая проблема, связанная с двумя форматами WMF и EMF (Extended Metafile). Об этой проблеме публикуется в бюллетене о безопасности Microsoft Security Bulletin MS05-053; информация по нынешней проблеме рассматривается в Microsoft Security Advisory 912840. К сожалению, патч, который был выпущен для решения ранней проблемы связанной с уязвимостью систем, не решает новой проблемы.


Что делают эти патчи?
По словам создателя патчей Илфака Гилфанова (Ilfak Guilfanov), неофициальный патч Hexblog блокирует доступ к функции Escape() в библиотеке gdi32.dll, и делает подфункцию SETABORTPROC недосягаемой для вирусов. После установки патча, пользователь должен исключить из реестра библиотеку shimgvw.dll. Неофициальный патч Hexblog предназначен для следующих ОС: Win2000, XP, XP64 и Win2003.

Конечно же, Microsoft выпустила официальный патч. Тем кто не имеет возможности скачать этот патч, компания рекомендует исключить из реестра библиотеку shimgvw.dll.


Можно ли доверять неофициальным патчам?

Microsoft и некоторые аналитики из компании Gartner Inc. полагают, что сисадмины не будут устанавливать патч Hexblog, а скорее воспользуются последними обновлениями антивирусных программ, для решения проблемы. Другой уважаемый источник, SANS Institute’s Internet Storm Center, рекомендовал установить патч Hexblog. Американская компания The U.S. Computer Emergency Readiness Team (US-CERT) никак не прокомментировала ситуацию, но и не связалась с разработчиками Hexblog.


Что будет, если просто заблокировать расширение WMF?

Ничего. Другие файлы с расширениями .bmp, .gif и .jpg, могут работать не корректно.


Что будет, если библиотеку shimgvw.dll удалить из реестра?

Библиотека shimgvw.dll это лишь промежуточное звено в передаче данных функции Escape() в библиотеке gdi32.dll. Вирус может быть сразу нацелен на библиотеку gdi32.dll и вывести компьютер из строя. Так что особого смысла в этом нет. Кроме того, библиотеку Shimgvw.dll используют Windows Picture и программа просмотров изображений и факсов.


Если сейчас установлен неофициальный патч то, что делать с официальным?

Гилфанов уверяет, что несовместимость исключена, но советует удалить Hexblog после установки официального патча Microsoft. Всё будет написано в инструкции по установке. Пользователям так же придётся повторно регистрировать библиотеку.


Кто такой Гилфанов?

Илфак Гилфанов (Ilfak Guilfanov) разработал IDA Pro, популярную программу для выявления программ-вирусов на бинарном уровне. В данный момент работает в Бельгийской компании Belgium’s Datarescue, которая 28 декабря 2005 года выпустила следующую предварительную версию IDA Pro. К стати, на следующий день было официально признано существования проблемы WMF (подробнее ”Malicious hackers exploit zero-day Windows flaw”).


Как объяснить об опасности своим начальникам, которые плохо в этом разбираются?

Любой начальник или пользователь должен уяснить ряд правил (быть внимательным и не открывать подозрительные письма, не посещать сомнительные сайты). Каждый пользователь рискует, по крайней мере, теоретически. Постарайтесь установить официальный патч, специально разработанный компанией Microsoft. В обычной переписке, неплохой идеей может быть отказ от HTML в пользу обычного текстового послания.

Пользователям Internet Explorer не имеющим патча, следует обезопасить себя и временно отказаться от загрузок из сети, поставив самый высокий уровень безопасности в настройках. Пользователи Firefox и Opera застрахованы от неприятностей связанных с заражёнными WMF файлами, так как перед открытием такого файла, появится предупреждение об опасности.

ОБСУДИТЬ НА ФОРУМЕ!

Уважаемый посетитель, Вы вошли на сайт, как незарегистрированный пользователь. Мы рекомендуем вам зарегистрироваться, либо войти на сайт под своим именем.