actualité
 L'actualité informatique et multimédia
 La faille du WMF mêlée à un ver sous MSN
 Même avec la gueule de bois, ne cliquez pas partout
Malware

xmas wmf verNouvelle exploitation pour la vulnérabilité WMF, toujours non colmatée officiellement à ce jour : « Ce n’était qu’une question de temps, indique déjà le site VirusList.com, le premier ver de messagerie instantanée exploitant la vulnérabilité WMF vient d’être découvert. » Le site en question, blog de l’éditeur Kaspersky Labs, affirme avoir reçu plusieurs alertes depuis les Pays-Bas pour un ver qui se propage sur MSN. Il utilise pour cela le lien http://[caché]/xmas-2006 FUNNY.jpg

Le lien en question est intégré dans une page HTML qui renvoie vers un fichier WMF malformé, d’ores et déjà nommé Exploit.Win32.IMG-WMF par Kaskersky. Au clic, ce fichier téléchargera et exécutera un fichier .VBS, le trojan Trojan-Downloader.VBS.Psyme.br, qui, à son tour, ouvrira une porte dérobée via le Backdoor.Win32.SdBot.gen. Cet opéra en quatre actes n’est pas fini puisque cette porte dérobée est programmée pour télécharger une variante de IM-Wom.Win32.Kelvir, Kelvir étant un ver sous MSN.

La vulnérabilité en question frappe aujourd'hui toutes les versions de Windows via l’interprétation et l’affichage des images de type WMF (Windows Meta File). Elle s’exploite directement par l’aperçu des images et des télécopies Windows qui gère mal certaines images WMF, malformées. Elle peut être exploitée directement via Internet Explorer, le courrier électronique, un site web piégé, etc. L’exemple typique en cette période étant les cartes de vœux. Pour Secunia, la faille en question est classée extrêmement critique. Microsoft, qui travaille sur un patch, a mis en ligne une page dédiée mais sans apporter à ce jour de solution officielle.

De son côté, F-Secure indique qu’une campagne de spam abuse un peu plus de cet exploit : avec pour objet « Happy New Year », le mail en question indique simplement « picture of 2006 ». Il contient une utilisation de la faille WMF, via un fichier attaché nommé HappyNewYear.JPG. Lorsque l’image en question est lancée, elle exécute et ouvre un malware nommé Bifrose.

MàJ : on trouvera sur le site de sécurité Secuser, un bulletin  avec correctif non officiel à la clef. (Merci Xlom!)

Rédigée par le lundi 02 janvier 2006 à 09h37 (11630 lectures)
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 18 commentaires dont 18 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

30 décembre 2005   La faille du WMF sous Windows ne cesse de faire des victimes
28 décembre 2005   Une nouvelle faille dans Windows XP déjà exploitée
21 décembre 2005   Un ver ça va...non en fait ça ne va pas
25 août 2005   Un ver pour MSN Messenger qui parle dans votre langue
18 mai 2005   La messagerie AIM visitée par le ver Oscabot
12 mai 2005   Reuters sécurise son logiciel de messagerie instantannée
02 mai 2005   Kelvir.AZ, un virus .Com les autres
07 mars 2005   2 nouveaux vers : attention au P2P et à MSN

Recherches relatives : - -