Hlavní navigace

Bezpečnost v uplynulém týdnu: vysoce kritická zranitelnost Windows

Autor: 29
Ondřej Bitto

Poslední týden roku 2005 se nesl především ve znamení závažné zranitelnosti operačních systémů Microsoft Windows, která má původ v chybném zobrazování souborů WMF. V souvislosti s touto skulinou okamžitě vznikl odpovídající škodlivý kód, jenž ji zneužívá. Do sekce bezpečnostního softwaru zdarma jsme tentokráte zařadili utilitu pro odstranění spywaru a jednoduchého správce procesů.

Bezpečnostní aktuality

Microsoft Windows

Verze: XP, 2003
Riziko: vysoké riziko (vysoké)
V operačních systémech Microsoft Windows 2003 a Windows XP byla objevena vysoce kritická zranitelnost, které může útočník zneužít ke zkompromitování náchylného systému. Jádro chyby tkví ve špatném zpracování souborů grafického formátu Windows Metafile (přípona WMF).
Útočník přitom musí svou oběť přinutit k tomu, aby si obrázek zobrazila v Prohlížeči obrázků a faxů, jako náhled v Průzkumníkovi nebo v Internet Exploreru otevřela stránku, která jej obsahuje. V době psaní tohoto článku ještě nebyla k dispozici odpovídající oficiální oprava, prozatímní doporučené řešení spočívá v nastavení vysoké úrovně zabezpečení prohlížeče Internet Explorer, případně použití některého z alternativních browserů. Další možností je důvěra v tuto neoficiální opravu.
Další informace: Microsoft.com, Us-cert.gov

Chyba ve zpracování souborů WMF a škodlivý kód

Společnost Kaspersky Lab na svých webových stránkách informovala o okamžitém zneužití nové zranitelnosti Windows XP a 2003 při otevírání obrázků WMF. Pokud podle dostupných údajů uživatel navštíví nebezpečné stránky, hrozí mu stažení i aktivace Trojan-Downloader.Win32­.Agent.acd, který následně instaluje další trojské koně ze specifických domén.
V poslední den loňského roku se na stránkách serveru Viruslist.com objevila informace o IM červu, který rovněž zneužívá WMF chyby. Postiženým klientem je MSN Messenger a uživatel je nabádán k zobrazení souboru http://[odstra­něno]/xmas-2006 FUNNY.jpg. Odkazovaný soubor .jpg ve skutečnosti představuje HTML stránku s upraveným obrázkem WMF, díky kterému se stáhne a nainstaluje Trojan-Downloader.VBS­.Psyme.br. Nakonec vše vyústí v infikování nechráněného počítače variantou IM červu Kelvir. Postupně se objevují stále nové možnosti zneužití prozatím nezáplatované zranitelnosti Windows.

Z nově vydaných online článků renomovaných serverů stojí za přečtení následující zástupci:

Timing Rootkits (Infosecwriter­s.com)
Dokument na téma možností detekce rootkitů.

More than 450 Phishing Attacks Used SSL in 2005 (Netcraft.com)
Statistické shrnutí phishingových útoků za rok 2005.

Bezpečnostní software zdarma

Kazaap

Homepage: Kazaap.org

Lupa hodnotí: 1752
Slunečnice hodnotí: Slunecnice rating 4

kazaap

Tato jednoduše a rychle použitelná utilita od společnosti Opensoft Corporation prozkoumá kritické systémové oblasti na přítomnost spywaru a dalších elektronických škůdců. Díky faktu, že svou pozornost zaměřuje pouze na některé lokality, dokáže nalézt specifický malware během několika málo vteřin. Na domovských stránkách programu můžete nalézt seznam stovky nejznámějších škodlivých kódů, se kterými si Kazaap poradí. Stáhnout si jej však můžete také ze serveru Slunečnice.cz

EBF17_braverman

IKnow Process Scanner

Homepage: Iknowprocess.com

Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice rating 4

iknow

Další z řady správců právě běžících procesů, který se snaží zaujmout především poměrně příjemným uživatelským rozhraním. Po svém spuštění zobrazí seznam aktuálních procesů, který v sobě zahrnuje nejen jejich názvy, ale také PID, jméno uživatele, pod kterým byl spuštěn, využití paměti a cestu ke spustitelnému souboru. Kromě prostého ukončení běhu lze stisknutím tlačítka Scan dohledat doplňující informace, případně si přečíst další v databázi na domovských stránkách projektu, která však bohužel není zdaleka tak obsáhlá jako v případě některých podobně zaměřených serverů. IKnow Process Scanner si rovněž můžete stáhnout na Slunečnici.

Anketa

Požíváte nějakou specializovanou aplikaci pro detekci rootkitů?

Našli jste v článku chybu?