ALLARME ROSSO

Flying Luka · 03-01-2006, 17.08.57

<img src="http://www3.cce.unifi.it/cce/database/images/corpo/virusalert.jpg" />Grazie a Thor per la segnalazioneSegnalo con particolare urgenza, affinchè oguno possa prendere gli opportuni provvedimenti, i problemi relativi alla falla WMF già precedentemente evidenziata nel portale di Wintricks con la news del 28 dicembre 2005 "Rischi Di Fine Anno" visibile a questo link: <a href="article.php?ID=4404">http://www.wintricks.it/news1/article.php?ID=4404</a>Ecco la prima patch non ufficiale che pone rimedio alla pericolosa vulnerabilità di Windows. Da installare al più presto! La falla nella libreria di decodifica delle immagini_ sta assumendo dimensioni davvero apocalittiche. Microsoft non ha ancora rilasciato una patch ufficiale, anche se la si aspetta con certezza per l'aggiornamento mensile del 9 gennaio. Nel frattempo stanno fioccando un po' ovunque nuove varianti (una cinquantina almeno, secondo alcuni osservatori) delle immagini velenose: questo proliferare di file ha messo in crisi i principali antivirus, che non riescono a mantenere aggiornate le definizioni antivirali per intercettare tutte le variazioni sul tema. Da una scansione effettuata da Megalab (vedi immagine) gli Antivirus in grado di proteggere sono davvero pochi<img src="http://www.megalab.it/immagini/news/falla_wm/scan_wmf.gif" />Uso Firefox: sono al sicuro? E' bene capire che si tratta di una (pericolosissima) falla del sistema operativo, e non di Internet Explorer: come tale, si è potenzialmente esposti all'attacco qualunque navigatore sia in uso. Al contrario di Internet Explorer però_FireFox non lancia immediatamente il visualizzatore di immagini, e quindi non compromette istantaneamente il sistema: una volta salvato il file localmente però l'exploit viene mandato in esecuzione. Il DEP mi protegge? Stanno circolando in Rete notizie poco corrette riguardo alla protezione che potrebbe garantire la funzione di Data Execution Prevention introdotta dal_Service Pack 2 di Windows XP: è bene precisare che questa protezione è attiva solamente in caso anche il processore sia predisposto, cioè di fatto solo gli ultimissimi modelli. Nelle prove che ho condotto ad esempio, il mio Athlon XP 3000+ ha mostrato di non supportare tale funzionalità, e l'exploit viene eseguito comunque. Stando ad_un comunicato di AMD_solo i processori di classe Athlon 64 includono questa funzione: anche in questo caso però, varie testimonianze piuttosto affidabili confermano che non sempre il meccanismo funziona correttamente. Insomma, la strada DEP non è al momento una soluzione accettabile. La prima patch non-ufficiale Il SANS Institute_ha presentato_la prima patch non ufficiale per questa debolezza: secondo i_test di MEGALAB, effettuati anche su Windows XP Service Pack 2 italiano, la correzione è effettivamente funzionante, e permette di arginare il problema. Sebbene sia solitamente sconsigliabile installare aggiornamenti non-ufficiali (soprattutto in ambiente aziendale) vista la pericolosità della debolezza in questione raccomandiamo di eseguire quanto prima il setup su tutti i sistemi che dispongano di un accesso ad Internet, tanto quelli domestici quanto quelli enterprise. La_patch NON ufficiale che dovrebbe risolvere il problema, è qui disponibile per il download:_<a href="http://handlers.sans.org/tliston/wmffix_hexblog14.exe">http://handlers.sans.org/tliston/wmffix_hexblog14.exe</a> <a href="http://www.wintricks.it/framer.php?url=http://www.megalab.it/news.php?id=956" target="_blank"> Fonte </a>

crazy.cat · 03-01-2006, 17.19.57

C'è un puntino di troppo nel link della fonte della notizia.

unexplained · 03-01-2006, 17.34.01

Qualche giorno fa, navigando normalmente, il mio browser (crazy Browser) mi voleva far scaricare un file WMF e me lo classificava con l'icona di ACDSee (il mio visualizzatore predefinito). Ebbene, tentando di scaricare tale file, antivir me lo ha subito segnalato come infetto

WARNING: Contains signature of the exploits EXP/IMG.WMF1!
CONTENT.IE5\K9IFGD6N\XPL[1].WMF

e dopo 12 minuti

WARNING: Contains signature of the exploits EXP/IMG.WMF4!
CONTENT.IE5\YPE3CRIH\XPL[1].WMF

Nelle definizioni di antivir risultano essere presenti l'exploit originale e altre 10 varianti e precisamente dalla versione A alla F e dalla 1 alla 4.

Sbavi · 03-01-2006, 17.44.48

I sintomi? Se per caso siamo già infetti come riusciamo a capirlo?

Feintool · 03-01-2006, 17.48.53

Il Kaspersky funzione egregiamente ma le precauzioni non mi fanno mai abbassare la guardia, se esiste un metodo per individuare eventuali fonti di minaccia meglio segnalarle.

Thanks.

Gigi75 · 03-01-2006, 18.00.53

Stasera se ho tempo (linux permettendo!) vedo il DEP visto che ho un athlon64

lubumba · 03-01-2006, 21.58.41

Ma qualcuno l'ha già installata questa Patch non ufficiale?

Umby · 03-01-2006, 23.06.29

Il link della patch non ufficiale non si trova c'è qualche errore
Grazie

Flying Luka · 03-01-2006, 23.21.49

Ho appena controllato: Il link alla patch funziona benissimo e non c'è nessun errore.

L'unico problema può essere dato dal fatto che ci sono parecchie persone che stanno cercando di scaricare la patch ed il server handlers.sans.org non è in grado si supportare grossi volumi di traffico.

sp3ctrum · 04-01-2006, 02.03.24

La notizia è comparsa su molti giornali online, e dicono che le versioni più recenti di Firefox non consentono questo formato (wmf)

Ma è vera questa cosa???

Reds · 04-01-2006, 02.09.48

Account for domain hexblog.com has been suspended

Account for domain hexblog.com has been suspended

n@ndo · 04-01-2006, 05.59.49

(Y) scaricata ed installata grazie luka

Feintool · 04-01-2006, 08.41.55

Confermo la perfetta funzionalita' sia del link che della patch.
Adesso speriamo che non escano altre varianti del codice virale

RNicoletto · 04-01-2006, 09.07.52

Quota:

Originariamente inviato da sp3ctrum
La notizia è comparsa su molti giornali online, e dicono che le versioni più recenti di Firefox non consentono questo formato (wmf)

Ma è vera questa cosa???

NO, Firefox non è stato aggiornato in tal senso. Comunque con questo browser non corri il rischio perchè prima di scaricare il virus sul tuo PC te lo chiede!

olinto · 04-01-2006, 13.35.44

e la microsoft che fa, dorme?

03-01-2006, 17.08.57	#1
Flying Luka Gold Member Top Poster Registrato: 23-07-2001 Loc.: Lodi Messaggi: 5.651	ALLARME ROSSO <p align="center"><img src="http://www3.cce.unifi.it/cce/database/images/corpo/virusalert.jpg" /></p><p align="right"><font face="arial,helvetica,sans-serif"><strong>Grazie a Thor per la segnalazione</strong></font></p><p align="center" /><p align="justify"><font face="verdana,arial,helvetica,sans-serif" size="2">Segnalo con particolare urgenza, affinchè oguno possa prendere gli opportuni provvedimenti, i problemi relativi alla falla WMF già precedentemente evidenziata nel portale di Wintricks con la news del 28 dicembre 2005 <strong>"Rischi Di Fine Anno" </strong>visibile a questo link: </font><a href="article.php?ID=4404"><font face="verdana,arial,helvetica,sans-serif" size="2">http://www.wintricks.it/news1/article.php?ID=4404</font></a></p><p align="justify"><font face="verdana,arial,helvetica,sans-serif"><font size="2">Ecco la prima patch non ufficiale che pone rimedio alla pericolosa vulnerabilità di Windows. Da installare al più presto!<br /><br /><span class="articoli_corpo">La falla nella libreria di decodifica delle immagini_ sta assumendo dimensioni davvero apocalittiche. </span></font></font></p><p align="justify"><span class="articoli_corpo"><font face="verdana,arial,helvetica,sans-serif" size="2">Microsoft <b>non ha ancora rilasciato una patch ufficiale</b>, anche se la si aspetta con certezza per l'aggiornamento mensile del <b>9 gennaio</b>. <br /><br />Nel frattempo stanno fioccando un po' ovunque <b>nuove varianti</b> (una cinquantina almeno, secondo alcuni osservatori) delle immagini velenose: questo proliferare di file ha messo in crisi i principali antivirus, che non riescono a mantenere aggiornate le definizioni antivirali per intercettare tutte le variazioni sul tema. <br /></font></span></p><p align="justify"><span class="articoli_corpo"><font face="verdana,arial,helvetica,sans-serif" size="2">Da una scansione effettuata da Megalab (vedi immagine) gli Antivirus in grado di proteggere sono davvero pochi</font></span></p><p align="center"><span class="articoli_corpo"><img src="http://www.megalab.it/immagini/news/falla_wm/scan_wmf.gif" /></span></p><p align="justify"><span class="articoli_corpo"><font face="verdana,arial,helvetica,sans-serif"><font size="2"><strong><span class="articoli_paragrafo">Uso Firefox: sono al sicuro?</span> <br /></strong>E' bene capire che si tratta di una (pericolosissima) falla del sistema operativo, e non di Internet Explorer: come tale, si è potenzialmente esposti all'attacco qualunque navigatore sia in uso. <br /><br />Al contrario di Internet Explorer però_FireFox non lancia immediatamente il visualizzatore di immagini, e quindi non compromette <i>istantaneamente</i> il sistema: una volta salvato il file localmente però l'exploit viene mandato in esecuzione. <br /><br /><strong><span class="articoli_paragrafo">Il DEP mi protegge?</span> <br /></strong>Stanno circolando in Rete notizie poco corrette riguardo alla protezione che potrebbe garantire la funzione di <i>Data Execution Prevention</i> introdotta dal_Service Pack 2 di Windows XP: è bene precisare che questa protezione è attiva solamente in caso anche il processore sia predisposto, cioè di fatto solo gli ultimissimi modelli. <br /><br />Nelle prove che ho condotto ad esempio, il mio <i>Athlon XP 3000+</i> ha mostrato di non supportare tale funzionalità, e l'exploit viene eseguito comunque. Stando ad_un comunicato di AMD_<b>solo i processori di classe Athlon 64</b> includono questa funzione: anche in questo caso però, varie testimonianze piuttosto affidabili confermano che non sempre il meccanismo funziona correttamente. <br /><br />Insomma, <b>la strada DEP non è al momento una soluzione accettabile</b>. <br /><br /><strong><span class="articoli_paragrafo">La prima patch non-ufficiale</span> <br /></strong>Il SANS Institute_ha presentato</font></font><font face="verdana,arial,helvetica,sans-serif" size="2">_la prima patch non ufficiale per questa debolezza: secondo i_test di MEGALAB, effettuati anche su Windows XP Service Pack 2 italiano, la correzione è effettivamente funzionante, e permette di arginare il problema. <br /><br />Sebbene sia solitamente sconsigliabile installare aggiornamenti non-ufficiali (soprattutto in ambiente aziendale) vista la pericolosità della debolezza in questione raccomandiamo di eseguire quanto prima il setup su tutti i sistemi che dispongano di un accesso ad Internet, tanto quelli domestici quanto quelli enterprise. <br /></font></span></p><p align="justify"><span class="articoli_corpo"><font face="verdana,arial,helvetica,sans-serif" size="2">La_patch NON ufficiale che dovrebbe risolvere il problema, è qui disponibile per il download:_<a href="http://handlers.sans.org/tliston/wmffix_hexblog14.exe">http://handlers.sans.org/tliston/wmffix_hexblog14.exe</a></font></span></p><p /><p /><br><br><a href="http://www.wintricks.it/framer.php?url=http://www.megalab.it/news.php?id=956" target="_blank"> Fonte </a><br><br><br><br> ___________________________________ L'ignorante parla a vanvera, l'intelligente parla al momento opportuno, il saggio parla solo se è interpellato, il fesso parla sempre! Ultima modifica di Flying Luka : 03-01-2006 alle ore 17.30.45

03-01-2006, 17.19.57	#2
crazy.cat Gold Member Top Poster Registrato: 20-08-2002 Loc.: Mestre Messaggi: 3.563	C'è un puntino di troppo nel link della fonte della notizia. ___________________________________ Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.

03-01-2006, 17.34.01	#3
unexplained Senior Member Registrato: 28-04-2003 Loc.: All around the world Messaggi: 384	Qualche giorno fa, navigando normalmente, il mio browser (crazy Browser) mi voleva far scaricare un file WMF e me lo classificava con l'icona di ACDSee (il mio visualizzatore predefinito). Ebbene, tentando di scaricare tale file, antivir me lo ha subito segnalato come infetto WARNING: Contains signature of the exploits EXP/IMG.WMF1! CONTENT.IE5\K9IFGD6N\XPL[1].WMF e dopo 12 minuti WARNING: Contains signature of the exploits EXP/IMG.WMF4! CONTENT.IE5\YPE3CRIH\XPL[1].WMF Nelle definizioni di antivir risultano essere presenti l'exploit originale e altre 10 varianti e precisamente dalla versione A alla F e dalla 1 alla 4. ___________________________________ All the world is... Unexplained

03-01-2006, 17.44.48	#4
Sbavi Gold Member Top Poster Registrato: 04-09-2004 Loc.: لثلاثم عفمشةشف Messaggi: 5.467	I sintomi? Se per caso siamo già infetti come riusciamo a capirlo? ___________________________________ SOS ABRUZZO

03-01-2006, 17.48.53	#5
Feintool Poetic Soul Spammer of the year 2008 Registrato: 30-12-2004 Loc.: Canavese's Valley Messaggi: 176	Il Kaspersky funzione egregiamente ma le precauzioni non mi fanno mai abbassare la guardia, se esiste un metodo per individuare eventuali fonti di minaccia meglio segnalarle. Thanks. ___________________________________ Noi saremo sempre insieme.. due anime unite per sempre..

03-01-2006, 18.00.53	#6
Gigi75 Gold Member Top Poster Registrato: 03-12-2001 Loc.: Bari Messaggi: 7.369	Stasera se ho tempo (linux permettendo!) vedo il DEP visto che ho un athlon64 ___________________________________ .:. R.U.T.T.A. Motoclub Bari: Il Forum .:.

03-01-2006, 21.58.41	#7
lubumba Junior Member Registrato: 23-08-2002 Loc.: Cagliari Messaggi: 51	Ma qualcuno l'ha già installata questa Patch non ufficiale? ___________________________________ Ciao Lubumba

03-01-2006, 23.06.29	#8
Umby Newbie Registrato: 03-01-2006 Loc.: Brianza Messaggi: 1	Il link della patch non ufficiale non si trova c'è qualche errore Grazie

03-01-2006, 23.21.49	#9
Flying Luka Gold Member Top Poster Registrato: 23-07-2001 Loc.: Lodi Messaggi: 5.651	Ho appena controllato: Il link alla patch funziona benissimo e non c'è nessun errore. L'unico problema può essere dato dal fatto che ci sono parecchie persone che stanno cercando di scaricare la patch ed il server handlers.sans.org non è in grado si supportare grossi volumi di traffico.

04-01-2006, 02.03.24	#10
sp3ctrum Senior Member Registrato: 08-12-2004 Loc.: Casteddu Messaggi: 257	La notizia è comparsa su molti giornali online, e dicono che le versioni più recenti di Firefox non consentono questo formato (wmf) Ma è vera questa cosa???

04-01-2006, 02.09.48	#11
Reds Junior Member Registrato: 26-06-2005 Messaggi: 115	Account for domain hexblog.com has been suspended Account for domain hexblog.com has been suspended

04-01-2006, 05.59.49	#12
n@ndo Forum supporter Registrato: 21-05-2005 Loc.: san cassiano (lecce) Messaggi: 1.535	(Y) scaricata ed installata grazie luka

04-01-2006, 08.41.55	#13
Feintool Poetic Soul Spammer of the year 2008 Registrato: 30-12-2004 Loc.: Canavese's Valley Messaggi: 176	Confermo la perfetta funzionalita' sia del link che della patch. Adesso speriamo che non escano altre varianti del codice virale ___________________________________ Noi saremo sempre insieme.. due anime unite per sempre..

04-01-2006, 13.35.44	#15
olinto Newbie Registrato: 21-02-2005 Loc.: svizzera Messaggi: 20	e la microsoft che fa, dorme?

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Thread rosso per la Birmania	NightMan	Chiacchiere in libertà	11	29-09-2007 18.11.38
Cellulari Bluetooth, ancora allarme rosso	cippico	Multimedia \| audio - video	1	12-04-2005 22.37.24
Quando la rabbia si oppone alla serenità	Kandran Kane	Chiacchiere in libertà	110	15-11-2004 23.38.42
Rosso Alice, che ne pensate?	exion	Segnalazioni Web	11	31-03-2004 09.01.18
W32.Netsky.C - Allerta 5 - Update	Giorgius	Sicurezza&Privacy	7	27-02-2004 22.00.00