Jak pisze jeden z pracowników SANS Institute: "Kiedy myśleliśmy już, że to będzie następny zwykły dzień, na Bugtraqu pojawiła się wiadomość o exploicie wykorzystującym niezałataną lukę w (...) Windows Graphics Rendering Engine".

Nie działa już opublikowany w raporcie SANS adres, z którego można było pobrać spreparowany (czytaj: właściwie uszkodzony) plik WMF. Jednak na Bugtraqu łatwo znaleźć odsyłacze do innych serwisów. Wiadomo, że przynajmniej niektóre z nich były już wykorzystywane do rozpowszechniania trojanów.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

WMF - zarazisz się, gdy dotkniesz

WMF, czyli Windows MetaFile, to odrobinę zapomniany dziś format przenoszenia plików graficznych. Jego 16-bitowa odmiana pochodzi z czasów Windows 3.x, obecnie (systemy od Windows 95 do Windows Server 2003) wykorzystywany jest raczej 32-bitowy WMF.

Mechanizm wyglądał następująco: użytkownik wchodził na witrynę. W pliku HTML znajdował się tylko znacznik iframe, który powodował załadowanie pliku *.wmf (może być to również *.jpg, *.gif lub inny plik graficzny, któremu złośliwy użytkownik zmienił rozszerzenie). A później było już z górki: jeśli użytkownik korzystał z Firefoksa lub Opery, przeglądarka pytała o pobranie pliku lub jego otwarcie w pozornie nieszkodliwej aplikacji, czyli w programie obsługującym grafiki. W Internet Explorerze (i nakładkach) plik automatycznie otwierał się w Picture and Fax Viewerze (Podgląd obrazów i faksów).

Nawet jeśli użytkownik jest "przezorny" i zdecyduje się wyłącznie na pobranie pliku na dysk, exploit wykorzysta dziurę. Dzieje się tak, gdyż Eksplorator Windows stara się wygenerować miniaturkę nowej grafiki "na wszelki wypadek", w razie, gdyby użytkownik zdecydował się włączenie podglądu miniaturek w folderach.

Ta "grafika" cicho pobierała trojana przedstawiającego się jako program antywirusowy i antispyware o nazwie Winhound. A czasem takiego, który się nie przedstawiał.