Эта новость перекликается с предыдущей. Некто Josh из Остина (штат Техас, США) сообщает о том, что при посещении некоторых Вэб-сайтов на полнопатченной Windows он с удивлением обнаружил, что его компьютер был заражён (изменился фон рабочего стола и не работал Task Manager). Дальнейший анализ привёл автора к выводу, что заражение произошло через файлы xpl.wmf и xpladv470.wmf. Как дальше замечает автор, уязвимость в обработке WMF-файлов была устранена Microsoft патчем, описанным в бюллетене MS05-053 (KB896424). Судя по всему, уязвимость всё равно осталась. Уязвимость проявляется тремя путями: при посещение специальным образом формленной Вэб-страницы, при открытии файла в Explorer (проводнике), при выполнении файла в Windows. Дальнейший анализ, проведённый специалистами привёл к разноречивым выводам. Некоторые утверждают, что выполняется код с привилегиями SYSTEM, другие полагают, что только от текущего пользователя. Daniel Bonekeeper выяснил, что при посещении определённых сайтов при помощи скрытого тега <frames> открывается файл http://69.50.183.34/m.html, который, в свою очередь, открывает файл http://69.50.183.34/xpl.wmf, являющийся эксплоитом. Этот эксплоит загружает файл http://69.50.183.34/cj.exe и запускает его. Этот файл в свою очередь устанавливает в системе то, что называется термином BHO (browser helper objects), являющийся шпионским ПО. Необходимо сказать, что Microsoft признала факт наличия уязвимости и выпустила Security Advisory (912840), в котором в общем-то не даётся никаких конкретных рекомендаций, кроме общих слов. Рекомендации приводятся в блоге Josh. Автор рекомендует запустить (с полномочиями админа) команду regsvr32 shimgvw.dll /u (отключение Windows Picture and Fax Viewer). Также эксплоит содержится по адресу unionseek.com/d/t1/wmf_exp.htm. Cсылки с подробностями приведены ниже.
Блог Josh
Описание на Securityfocus
Бюллетень Microsoft