Pues creo que tengo el honor de ser el primero del foro en ser atacado por este exploit. Hace un rato e echo un scan de rutina con kaspersky y me lo a detectado en los temporales de internet como wmf_code (1), lo a borrado sin mayores problemas. Lastima de no haber podido recuperar el archivo para haberlo podido enviarlo a vosotros.
A priori no e notado nada raro en mi pc, ni lentitud ni nada extraño por lo que puedo deducir que no es una vulnerabilidad grave-critica. Estare al acecho por si vuelve a aparecer y os lo envio.
saludos y feliz año nuevo.
Primer ataque de exploit WMF
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues gracias por pensar en nosotros, y efectivamente estudiariamos la muestra en cuestion, especialmente por la novedad, y aparte para poder controlarla y evitar sus efectos o corregirlos.
No te confundas al considerar
Verás, en primer lugar detectaste el exploit, sin saber lo que provocaba, eso era solo la forma, el medio de introducirse, no el fondo del asunto, que hubiera sido el malware introducido, y aparte ni esto te llegó a afectar, pues los antivirus analizan primero lo que llega, en una carpeta temporal, antes de ejecutarlo, y si detectan algo, ya lo detienen sin dejarlo entrar, y es lo que te pasó, detectó las rutinas del EXPLOIT WMF y ya no entró el exploit, ni el malware que pudiere llegar a través de él.
A ver si los Reyes nos traen un parche de microsoft contra este exploit, lo cual espero la semana que viene, con los del mes...
De todas formas hoy subiremos una utilidad (no un parche) que eliminará o restaurará una clave que, segun McAfee, es suficiente para evitar la intrusion, al no lanzar determinada DLL, ka cual indican alternativamente poder desregistrarla para ello, pero con lo simple que es no lanzarla, pues eso, esta mañana subiremos el ANTIWMF.EXE qie al menos para XP ya hemos hecho, y no es lo mismo una utilidad que quita o ponga una clave, sin necesidad de instalacion, que un parche, a lo que quien mas quien menos es reacio, especialmente si se tiene una Red que administrar. Además hemos visto que no nos altera la visualizacion de imagenes, contrariamente a otros metodos para lo mismo.
saludos y gracias, endrogao
ms, 5-1-2006
No te confundas al considerar
[quote="endrogao"]deducir que no es una vulnerabilidad grave-critica.[/quote]
Verás, en primer lugar detectaste el exploit, sin saber lo que provocaba, eso era solo la forma, el medio de introducirse, no el fondo del asunto, que hubiera sido el malware introducido, y aparte ni esto te llegó a afectar, pues los antivirus analizan primero lo que llega, en una carpeta temporal, antes de ejecutarlo, y si detectan algo, ya lo detienen sin dejarlo entrar, y es lo que te pasó, detectó las rutinas del EXPLOIT WMF y ya no entró el exploit, ni el malware que pudiere llegar a través de él.
A ver si los Reyes nos traen un parche de microsoft contra este exploit, lo cual espero la semana que viene, con los del mes...
De todas formas hoy subiremos una utilidad (no un parche) que eliminará o restaurará una clave que, segun McAfee, es suficiente para evitar la intrusion, al no lanzar determinada DLL, ka cual indican alternativamente poder desregistrarla para ello, pero con lo simple que es no lanzarla, pues eso, esta mañana subiremos el ANTIWMF.EXE qie al menos para XP ya hemos hecho, y no es lo mismo una utilidad que quita o ponga una clave, sin necesidad de instalacion, que un parche, a lo que quien mas quien menos es reacio, especialmente si se tiene una Red que administrar. Además hemos visto que no nos altera la visualizacion de imagenes, contrariamente a otros metodos para lo mismo.
saludos y gracias, endrogao
ms, 5-1-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online