此漏洞已经通过垃圾邮件和即时通讯软件流行,并且都是打这jpg的幌子。已发现一个名为“Happy New Year”的垃圾邮件包含图片"picture of 2006"并且包括一个含有利用wmf漏洞的附件,名为"HappyNewYear.jpg" (MD5: DBB27F839C8491E57EBCC9445BABB755). F-secure命名为PFV-Exploit.D。当HappyNewYear.jpg下载到硬盘时,当打开此文件或者预览次文件或者用google桌面搜索,此文件将执行,并从xxx.ritztours.com下载一个Bifrose后门,F-secure检测为Backdoor.Win32.Bifrose.kt。请在防火墙中过滤此地址。 首个利用wmf漏洞的即时通讯蠕虫出现在荷兰,利用msn发送一个地址"http://*****/xmas-2006 FUNNY.jpg",很有可能流行,但是目前还没有扩大。这个jpg实际上是一个html页面,其中含 Secunia Advisory: SA18255 Microsoft Windows WMF处理任意代码执行漏洞 已经发现了在Microsoft Windows中的漏洞,可被利用威胁易受攻击的系统。 漏洞的发生是由于处理被破坏Windows Metafile文件(".wmf")时的错误,可被利用执行任意代码,通过欺骗用户在"Windows Picture and Fax Viewer"打开一个恶意".wmf"文件或在资源管理器中查看恶意".wmf"文件(也就是选择文件)。当用户使用Microsoft Internet Explorer浏览恶意网站时,漏洞也可被自动利用。 注意:代码可被公众开发,可在wild中开发代码。 已经证实了在运行Microsoft Windows XP SP2的全补丁系统中的漏洞,Microsoft Windows XP SP1和Microsoft Windows Server 2003 SP0/SP1也受到影响,其他版本也可能受到影响。 受影响系统: Microsoft Windows Server 2003 Datacenter Edition Microsoft Windows Server 2003 Enterprise Edition Microsoft Windows Server 2003 Standard Edition Microsoft Windows Server 2003 Web Edition Microsoft Windows XP Home Edition Microsoft Windows XP Professional 有利用wmf漏洞的恶意代码,Kaspersky Anti-Virus检测为Exploit.Win32.IMG-WMF。这个wmf文件下载一个vbs文件,Kaspersky Anti-Virus检测为Trojan-Downloader.VBS.Psyme.br,然后下载一个Sdbot,这个IRCBot被Kaspersky Anti-Virus检测为Backdoor.Win32.SdBot.gen,然后此IRCBot下载一个IM-Worm.Win32.Kelvir变种,而Kelvir正是通过MSN传播的。看来此IRCBot极有可能是用以网络犯罪。 许多站点认为shimgvw.dll是缺陷文件,其实这个观点不正确,现在看来不对,因为很有可能在一个反注册了shimgvw.dll文件的系统上漏洞利用成功。缺陷文件看起来应该是gdi32.dll。只是反注册shimgvw.dll让系统稍微安全些。新年里,请小心图片文件! 微软已经针对最近的WMF漏洞可能引起的攻击问题发布了一份安全咨询公告,微软称在对此漏洞进行全面的研究并发布安全补丁之前REGSVR32是一个可行的解决方案。 反注册Windows Picture和Fax Viewer的DLL文件Shimgvw.dll步骤如下: 1.在运行中输入"regsvr32 -u %windir%/system32/shimgvw.dll"(不包括引号)后回车确定。 2. 一个对话框会显示出来确认反注册工作已经成功,点击OK关闭对话框即可。 使用了上述的临时解决方法后,在用户点击一个和Windows Picture和Fax Viewer关联的图片时Windows Picture和Fax Viewer就不会再运行了。 如果想取消上述的工作,重新注册一下Shimgvw.dll文件就可以了,重复上面操作的第一步输入"regsvr32 %windir%/system32/shimgvw.dll"就能完成Shimgvw.dll文件的注册工作。
当地时间本周二,微软宣布已经完成了针对Windows系统WMF漏洞的安全补丁,但要等到下周二的安全补丁日才会发布. WMF 漏洞公布当天便遭木马利用,随后的几天内更是出现了上千种不同的攻击代码,反病毒厂商都赶在第一时间升级了自己的病毒库,但微软还是坚持要根据惯例到补丁日再发布相应补丁.去年11月,微软曾经修补了一个影响WMF文件和EMF文件的类似漏洞,也是涉及Windows 2000/XP/2003等系统. 来自微软安全响应中心(MSRC)的Kevin Kean说:“MSRC在2005年11月27日获悉了此漏洞,并随即展开软件安全事件相应计划(SSIRP),分析其原理、确定其范围、向用户发布公告、联系反病毒合作伙伴和法律机构.基于此,我们完成了相应的安全补丁,并进行了质量测试.” 补丁要到1月10日方才发布的原因之一是微软需要时间进行测试,并为各个版本的Windows准备23种不同语言版本的补丁. F-Secure、Sunbelt、Panda等安全公司此前都要求微软发布一个临时紧急补丁,但微软官方回绝了此请求,并在声明中表示:“尽管该漏洞很严重,也已出现攻击,但微软认为范围有限,并且反病毒软件病毒库的及时升级也有效遏制了攻击的泛滥.” Windows XP 安全更新程序 (KB912919) 典型下载大小: 195 KB , 少于 1 分钟 现已确认有一个安全问题,攻击者可能会利用此问题危及基于 Microsoft Windows 系统的安全。您可通过安装此 Microsoft 更新程序来保护计算机不受侵害。安装本更新程序之后,可能需要重新启动计算机。 http://download.microsoft.com/downl...c-b2425afa501b/WindowsXP-KB912919-x86-CHS.exe