KIT MAKEWMF

[msc hotline sat]

Como que el rio suena, antes de que nos pille la riada, intentamos estar al tanto de los pormenores y posibles utilidades de control para evitar este EXPLOIT WMF en tanto que Microsoft no lo controle, que suponemos lo hará la proxima semana, pero...



Dicese de un spam de este EXPLOIT del que McAfee ya ha recibido 120.000 incidencias, y ello parece ser debido a una utilidad de creacion de variantes de virus que utilizan este EXPLOIT, el MAKEWMF, tambien controlada por McAfee:



http://vil.nai.com/vil/content/v_137846.htm



A todo ello, y aun habiendo ofrecido un parche alternativo a Microsoft, como que muy logicamente los hay reacios a implemnetarlo, existe la posibilidad de librarse provisionalmente de este EXPLOIT simplemnete eliminando la llamada de una clave, lo cual provisionalmente lo vemos muy interesante, y hemos creido conmveniente hacer una utilidad ANTIWMF.EXE que ofrezca eliminar la clave o volverla a instalar, tam facil como ejecutar el fichero y puilsar un boton.



Aunque no hayamos tenido incidencias, estamos seguros que las habrá, y entre los que optem por instalar el parche alternmativo, y los que quieran esperar a los de microsoft, ofrecemos esta simple utilidad que sea una alternativa facil a las ya existentes, a la espera de la definitiva de microsoft.



Tan pronto esté terminada la subiremos a esta web para pruebas de evaluacion.



saludos



ms, -1-2006

[msc hotline sat]

A titulo de informacion, la clave indicada por McAfee al respecto es:


[quote="McAfee"]Alternatively you could add the following registry key and reboot your system:



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\

image\ShellEx\ContextMenuHandlers\ShellImagePreview @ = ""
[/quote]

La cual modifica en XP la existente normalmente, que es restaurada si de decide volverla a instalar, pero esta clave solo existe en XP, no en W2000 y demas sistemas tambien vulnerables, por lo que de momento esta utilidad la haremos solo para XP, dejando para proximas versiones, cuando podamos probarla con muestras, los demas sistemas operativos.



Por lo menos la inmensa mayoria de usuarios de XP, podrán beneficiarse con ella.



saludos



ms, 5-1-2006

[msc hotline sat]

Hemos subido a esta web la nueva utilidad ANTIWMF.EXE, inicialmente para XP, que simplemente desinstala o instala la clave que indica McAfee (que carga una class cuya DLL parece ser la madre del cordero)



Si al lanzarla la encuentra instalada, ofrece PROTEGER y la desinstala, y si no la encuentra, ofrece DESPROTEGER, u la instala, devolviendo el registro a la normalidad original.



Con ello se puede `rpteger y ññegadp el parche de microsoft, dejarla a coimo estaba originalmente y emplear el parche



Para pruebas de evaluacion en el foro de zonavirus se puede descargar de:



http://www.zonavirus.com/datos/descargas/229/ANTIWMFEXE.asp



saludos



ms, 5-1-2006