Per Hellqvist om IT-säkerhet och sånt

Först ett par korrigeringar från förra inlägget. 1. Det är inte en bugg utan en “feature” (se nedan) och 2. Det gäller inte bara XP.

Jag har bevakat turerna kring WMF-problemet under helgen. Läget är mycket illa.

Enligt F-Secures blogg så är WMF problemet inte en bugg utan en feature som byggdes in i programmet från Windows 3.0 (problemet har alltså funnits sedan år 1990!!)

Detta problem kan alltså drabba samtliga internetanslutna Windows-användare.

Först av allt – Stoppa problemet. Detta är en permanent workaround:

Klicka på Start, välj Kör och skriv ”regsvr32 -u %windir%\system32\shimgvw.dll” utan citat-tecknen.

Detta kommer att avregistrera den dll fil som anropar den fil som verkligen innehåller problemet.

När patchen från Microsoft sedan kommer kan man skriva följande för att återställa (om du så vill):

”regsvr32 %windir%\system32\shimgvw.dll”

(Se vidare “Att göra”-listan i slutet av detta inlägg)

Problem idag
När man råkar ut för problemet installeras det i vanligast förekommande fall tangentbordsinspelare, bakdörrstrojaner och liknande som ger elakingar full tillgång till datorn och gör att den kan komma att anslutas till ett så kallat botnet.

Det finns minst en mask som sprids via MSN. Den önskar gott nytt år och länkar till bilden xmas-2006 FUNNY.jpg. Klicka inte på såna meddelanden. gör man det laddas en variant av SDBot ned som i sin tur är instruerad att ladda ned en variant av Kelvir. Den verkar spridas mest i Nederländerna men det kan ändras snabbt samt dyka upp nya varianter.

Det finns också en trojan som heter Nascene som utnyttjar sårbarheterna. Den finns nu på morgonen i ca 11 olika varianter.

WebSense Security Labs har tagit fram en film som visar hur det kan se ut när man blir infekterad. Notera att detta bara är ett exempel, man kan bli infekterad på andra sätt.

Man kan råka illa ut genom att läsa mejl (Outlook eller Notes (se länk nedan)), surfa (oavsett om man använder Firefox eller Internet Explorer), samt om man använder t ex Google Desktop
eller Microsofts motsvarighet MSN Search Toolbar (a.k.a Windows Desktop Search) eller om man indexerar eller söker igenom hårddisken på andra sätt…

På den positiva sidan kan man säga att skyddsprogram verkar fungera hyggligt. Jag försökte ladda ned ett verktyg för att se om min dator man är skyddad och Norton Internet Security stoppade detta samt blockade sajten (antiviruset i samverkan med IDSen). Läser man i kommentarerna till bloggen så ser man att även andra skyddsprogram gör samma sak. Det är ett gott tecken i mörkret…

Att göra:

InterCage Inc.: 69.50.160.0/19 (69.50.160.0 – 69.50.191.255)
Inhoster: 85.255.112.0/20 (85.255.112.0 – 85.255.127.255)

Mer läsning:

Som jag skrev inledningsvis är detta något av det värsta som kan hända. Ett problem som finns i samtliga Windows-versioner och som kan startas på många olika sätt och som redan används av elakingar samtidigt som det inte finns en patch från tillverkaren.

…gott nytt år?

Taggar: Uncategorized

Kommentarer

En kommentar to “Mer om WMF problemet”

  1. Anonymous on January 24th, 2006 23:04

    Blockera trafik till och från följande nätblock:
    InterCage Inc.: 69.50.160.0/19 (69.50.160.0 – 69.50.191.255)
    Inhoster: 85.255.112.0/20 (85.255.112.0 – 85.255.127.255)

    Så.. Hur gör man det??
    Tacksam för svar!

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.