Co ma wspólnego plik WMF z koniem trojańskim?

Podczas odwiedzin na niektórych witrynach możesz zobaczyć okienko z informacją o pobieraniu pliku WMF. Z pozoru jest to nieszkodliwa grafika. Jednak wystarczy skopiowanie jej na dysk, by w systemie wkrótce znalazły się konie trojańskie.

Dzisiejsza porada związana jest exploitem wykorzystującym błąd w obsłudze plików WMF w Windows XP/2003 oraz z artykułem, który ukazał się na łamach PC World Online (patrz: "W Windows znowu zieje dziura - i to jaka!"). Jako że dotychczas (grudzień 2005) Microsoft nie opublikował łaty, spróbujemy zapobiec problemowi.

Pierwszym, bardziej radykalnym sposobem jest wyrejestrowanie biblioteki odpowiedzialnej za podgląd rysunków. Robimy to wpisując w polu Start -> Uruchom... polecenie:

regsvr32 /u shimgvw.dll

System zacznie działać nieco szybciej, ale w okienkach folderów przestaną się pojawiać miniaturki obrazków.

Druga metoda nie zapobiega przed wyexploitowaniem błędu, ale znacząco utrudni życie twórcom trojanów chcącym przemycić swoje programy na z pozoru legalnych stronach.

Aby ją zastosować, należy z menu Narzędzia wybrać Opcje internetowe | Bezpieczeństwo (lub Zabezpieczenia) zaznaczmy ikonkę Internet i kliknijmy Poziom niestandardowy.... Tam znajdźmy opcję, w której nazwie znajduje się słowo IFRAME (zwykle jest to Uruchamianie programów i plików w IFRAME) i zmieńmy jej ustawienie na Wyłączone. Później pozostaje tylko potwierdzenie faktu zmiany poziomu zabezpieczeń i gotowe.

Obydwie metody zostały opisane w podlinkowanym artykule. Jutro zajmiemy się czymś, o czym w tekście nie było mowy - mianowicie usuwaniem ewentualnego konia trojańskiego.