Pesquisadores de segurança já encontraram mais de 70 variações de malwares que utilizam redes de mensagens instantâneas para explorar a falha WMF desde que ela foi reportada pela primeira vez.
A vulnerabilidade está na maneira com que o Windows lida com arquivos de imagens no formato WMF, e pode ser usada para que uma imagem execute códigos maliciosos. Arquivos WMF maliciosos podem ser distribuídos de várias formas, incluindo e-mails, sites, compartilhamento de arquivos e sistemas de mensagens instantâneas.
Ao enviar um arquivo ou um link para um site onde a imagem está hospedada, através de mensagens instantâneas, por exemplo, o atacante poderia tomar controle da máquina da vítima. As primeiras tentativas de invasão usando este método foram vista por pesquisadores dos laboratórios das kaspersky, que receberam relatos de uma onda de ataques por parte de usuários alemães, que receberam mensagens que traziam links para uma página contendo uma imagem maliciosa WMF.
As vítimas seriam atacadas de várias maneiras, com o download de um trojan, identificado como VBS.Psyme.br e a instalação de um bot, chamado Sdbot.gen, que recebe instruções via IRC para o download do worm Kelvir, que se espalha por serviços de mensagens instantâneas.
Mais recentemente, a empresa de segurança de mensagens instantâneas Akonix Systems bloqueou tentativas de transmitir arquivos maliciosos WMF com 70 nomes diferentes, de acordo com Shakeel Itoola, gerente de produção de um dos produtos da companhia. Aproximadamente um milhão de computadores são protegidos pela Akonix Systems, segundo Itoola, mas ele não pôde dizer quantas mensagens maliciosas foram realmente bloqueadas, já que os produtos da companhia não enviam estatísticas de uso.
Mais informações: InfoWorld
