Nova luknja v Windowsih povzroči Infocon Yellow

B-D_

29. dec 2005 ob 07:15:55

SANS Internet Storm Center je iz zelene spremenil trenutno stanje varnosti na spletu v "Infocon Yellow" kar ne storijo ravno za vsako malenkost. Tokrat se težava nahaja v Windows Graphics Rendering Engine-u, ki omogoča zaganjanje zlobnekode™ vsebovane v .wmf datotekah, katere naš preljubi Internet Explorer poganja tako samodejno, kot vam denimo prikazuje slikovne datoteke .jpg. To pomeni, da vas lahko okuži že zgolj obisk strani, ki prikaže datoteko s končnico wmf ali, če imate nameščen Google Desktop (ki uporablja IE pogon), celo odpiranje mape v kateri se nahaja okužena datoteka oz. celo prenos datoteke v DOS oknu z ukazom wget, kajti Google Desktop pri teh operacijah že prebere meta podatke okužene datoteke, kar pa je dovolj za okužbo sistema.

Rešitev je k sreči preprosta in čeprav se je uporabnikom Firefoxa ni potrebno posluževati, ker trenutno najpopularnejši alternativni brskalnik za razliko od bratca IEja nima pretiranih ambicij samodejnega poganjanja zlobnekode™, vseeno lahko uporabnik pri hitenju skozi vsakodnevna opravila nehote požene .wmf datoteko, ko se mu nenadoma prikaže okno za prenos in zagon datoteke ob obisku zlobnestrani™.

Pa da ne bi dolgovezili, tu so koraki k večji varnosti:

  1. Kliknite na gumb Start.

  2. Kliknite na Zaženi...

  3. Vtipkajte (brez narekovajev) "regsvr32 /u shimgvw.dll" in pritisnite enter.

  4. Kliknite ok, ko se pojavi sporočilo, da se zlobnakoda™ ne more več zaganjati.

Z zgornjimi vrsticami odregistrirate knjižnico, ki omogoča zaganjanje nevarne kode, žal pa s tem prav tako onemogočite predogled slik (ko dvokliknete npr. jpg datoteko) in podobne slikovne funkcije v oknih. Če želite zaganjanje potem, ko bo vihar mimo, ponovno omogočiti, uporabite ukaz "regsvr32 shimgvw.dll". Na voljo je tudi druga alternativa, ki je malo manj elegantna, a ne povzroči težav s prikazom slik.

Pravi razlog zakaj je zadeva postavila varnost interneta v rumeno območje se nahaja v tem, da tokrat napaka ni tako nedolžna ker se uporablja za širjenje spyware-a preko nameščanja aplikacije Winhound na vaš računalnik (obstaja tudi video kako okužba dokaj spektakularno poteka). Ta aplikacija potem potegne ogromno drugih spyware aplikacij, ki vam kot je za spyware že značilno npr. prikazujejo reklame v pop-up oknih, nameščajo nove toolbare v IE, izklapljajo windows firewall in podobne zadeve, katere lahko pričakujemo od takšnih programov, potem pa vam Winhound prijazno predlaga nakup svojega plačljivega bratca, ki vam bo omogočil odstranitev vseh spyware programčkov (katere je v bistvu sam namestil). Toda glejmo iz svetlejše plati, lahko bi bilo huje in bi tisti mali programček namesto finančnih ciljev imel cilj izbrisati vsebino vaše mape moji dokumenti ali pa kar celotnega diska. Morda pa to pride ob naslednji priložnosti... še veliko pestrih užitkov ob uporabi Internet Explorerja vam želim.