Alerta: Troyano que se ejecuta mediante archivos WMF


Se ha detectado un exploit activo, que permite la ejecución
de código malicioso por el simple hecho de visualizar un
archivo con extensión WMF en una carpeta de Windows con vista
previa activa, o simplemente por visualizar una página web
vía Internet. El mayor peligro es que no hay que hacer clic
en ningún archivo para que se ejecute.





El exploit se vale de una vulnerabilidad en el proceso de
archivos de imágenes WMF (Windows Metafile), que puede
permitir la ejecución remota de código en el sistema.
Cualquier programa que procese imágenes WMF en el equipo
utilizando el componente de Windows afectado, puede ser
vulnerable a un ataque.

De este modo, no solo los usuarios de Internet Explorer están
involucrados, sino también quienes utilicen otros
navegadores, tales como Firefox.

Con el primer exploit reportado, NOD32 detectó por medio de
su heurística, el ejecutable malicioso que intentaba abrirse,
sin necesidad de ser actualizado (debemos hacer notar que se
han divulgado otras variantes luego de ello). Para el exploit
en si, se ha lanzado la base de firmas 1.1342 que ya lo
neutraliza.

Aconsejamos precaución extrema a la hora de abrir adjuntos,
páginas de Internet o carpetas compartidas por programas P2P
que contengan archivos .WMF.

Quienes usen un cortafuegos que detecte intentos de conexión
desde el PC hacia el exterior (por ejemplo ZoneAlarm), serán
avisados del intento de conexión de un archivo a un
determinado sitio Web, que en nuestras primeras pruebas tenía
el nombre de A.EXE (ello puede ser modificado por el autor en
futuras versiones, y en este caso, esto es válido para el
primer exploit detectado. Ver "Información de último momento"
al final de este artículo).

El exploit creaba y ejecutaba un archivo llamado A.EXE, de
6,641 bytes. El mismo puede copiarse y ejecutarse en el
escritorio de Windows y en la carpeta de archivos temporales
de Windows, con los atributos de oculto.

En el caso de recibirse esta alerta, se debe negar la
conexión. Luego, desde el Administrador de tareas de Windows
(CTRL+ALT+SUPR), basta con buscar y eliminar el proceso
llamado "a.exe".

También se deben borrar los siguientes archivos:

c:\windows\uniq
c:\windows\kl.exe

Para quienes utilicen NOD32, el antivirus impedirá la
ejecución de dicho archivo, protegiéndolos de la posible
infección. NOD32 lo detecta como una variante del
Win32/TrojanDownloader.Small.AOD

El exploit propiamente dicho, es detectado por NOD32 como
Win32/TrojanDownloader.Wmfex (ver "TrojanDownloader.Wmfex.
Detección para exploit WMF,
http://www.vsantivirus.com/trojandownloader-wmfex.htm)

Es importante hacer notar que las pruebas en nuestro
laboratorio, se realizaron con un Windows XP SP2 con todas
las actualizaciones al día, incluido el parche MS05-053 que
solucionaba un problema de ejecución de código mediante
imágenes WMF/EMF (896424), y que fuera publicado por
Microsoft en noviembre pasado. Más tarde se comprobó que el
exploit está basado en una vulnerabilidad totalmente nueva
(ver "Información de último momento" al final de este
artículo).

Dicha vulnerabilidad afecta a todas las computadoras que
ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1
incluido). Otras versiones de Windows que utilicen el visor
de imágenes y fax de Windows también son afectadas (ver
"Vulnerabilidad en visor de imágenes y fax de Windows",
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm)

Debido a consultas y comentario recibidos, no está de más
aclarar que esta alerta no es una broma por el día de los
inocentes (28 de diciembre), sino que se trata de algo
totalmente real.


* Información de último momento [29/12/05 06:15 -0200]

1. No se trata de la vulnerabilidad corregida en el parche
MS05-053 como se dijo en este mismo artículo anteriormente,
sino de una nueva vulnerabilidad descubierta el mismo día de
ser explotada (28 de diciembre). Un auténtico "zero-day".

2. La vulnerabilidad no depende del navegador, se puede
infectar cualquier persona usando otros navegadores, como por
ejemplo Firefox. Solo basta que se descargue una imagen que
tenga el exploit, y esté utilizando una de las versiones
vulnerables de Windows.

3. Existen al menos tres variaciones del exploits (28/12/05
20:58 -0200), que están siendo utilizadas para la descarga de
otros troyanos. Los más típicos son los que muestran un falso
anuncio de alerta de infección para que se descargue un
supuesto software anti-spyware o anti-troyano. Esto no es
nuevo y no debemos aceptar nunca seguir un enlace de este
tipo si nos aparece una ventana con esta clase de alerta
mientras navegamos, y la misma no es la de nuestro antivirus.
Lo nuevo aquí es que se utiliza el nuevo exploit para
aprovecharse de esto y ejecutar la falsa alerta de forma
automática.

4. Aún cuando no se abra una imagen haciendo doble clic en
ella, ni se utilice el Explorador de Windows para visualizar
una carpeta que tenga una imagen con el exploit, podemos
infectarnos si tenemos instaladas utilidades como por ejemplo
Google Desktop, ya que las mismas crean un índice de imágenes
para hacer búsquedas más rápidas, y ello es suficiente para
que se ejecute el exploit. Ello está relacionado con el visor
usado por Windows para ver las pre visualizaciones de
imágenes, faxes, etc. Esto se explica en el siguiente
artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

5. En ese mismo artículo, se dan algunas soluciones
alternativas de protección, como la de desregistrar el
componente afectado (SHIMGVW.DLL), al menos mientras
Microsoft no publique un parche actualizado.

Reiteramos, mucha precaución a la hora de navegar, no hacerlo
por sitios no conocidos, y mantener al día los antivirus. Aún
ahora no todos detectan el exploit o sus variantes.


* Resultados de las primeras muestras examinadas por el
servicio de Hispasec, VirusTotal:

Este es el resultado de analizar el archivo "exploit.wmf" que
VirusTotal ha procesado el DIA 28/12/2005 a las 18:33:20
(CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
Avast 4.6.695.0 28.12.2005 Win32:Exdown
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
BitDefender 7.2 28.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 28.12.2005 no ha encontrado virus
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 W32/WMF-exploit
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 28.12.2005 Trojan-
Downloader.Win32.Agent.acd
McAfee 4661 28.12.2005 Exploit-WMF
NOD32v2 1.1342 28.12.2005 Win32/TrojanDownloader.Wmfex
Norman 5.70.10 28.12.2005 no ha encontrado virus
Panda 8.02.00 28.12.2005 no ha encontrado virus
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 Bloodhound.Exploit.56
TheHacker 5.9.1.063 28.12.2005 Exploit/WMF
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo "a.exe" que
VirusTotal ha procesado el DIA 28/12/2005 a las 18:36:27
(CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
Avast 4.6.695.0 28.12.2005 Win32:Harnig-J
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
BitDefender 7.2 28.12.2005 BehavesLike:Trojan.Downloader
CAT-QuickHeal 8.00 28.12.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 Trojan.DownLoader.6084
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 suspicious
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 28.12.2005 no ha encontrado virus
McAfee 4661 28.12.2005 StartPage-IC
NOD32v2 1.1342 28.12.2005 probably a variant of
Win32/TrojanDownloader.Small.AOD
Norman 5.70.10 28.12.2005 W32/Downloader
Panda 8.02.00 28.12.2005 Trj/Downloader.GQA
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 no ha encontrado virus
TheHacker 5.9.1.063 28.12.2005 Trojan/Downloader-IC
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 suspected of Trojan-
Downloader.Agent.35


Fuente:
Por Jose Luis Lopez (*)
videosoft.net.uy

(*) Jose Luis Lopez es el responsable de contenidos de
VSAntivirus.com, y director técnico y gerente general de
NOD32 Uruguay.



Otras noticias de interés:

Fallo en mod_proxy Apache 2.x
Se ha publicado un fallo en el módulo 'mod_proxy' de Apache 2.x que podría permitir a un atacante obtener información sobre la red interna detrás de un servidor vulnerable....
Robo de usuario y contraseña en Firefox 2.0
Se ha reportado una vulnerabilidad en el navegador Firefox, la cuál puede ser explotada maliciosamente para llevar adelante ataques de phishing....
Lo que sucede cuando introduces la contraseña del MSN en cualquier sitio
Cuando se introducen los datos de acceso de Hotmail en cualquier clase de sitio, léase sitios de quien te admite, se está cediendo el control total de la cuenta a otras personas. A muchos usuarios no les importa porque de inmediato cambian su contr...
Grave vulnerabilidad en Yahoo! Messenger (y prueba de concepto)
El día 7 de junio, se descubría una grave vulnerabilidad en unos ActiveX de Yahoo! Messenger que permitía la ejecución de código arbitrairo a través de la web. El código necesario para aprovechar el problema se hizo público, y obligó a...
Microsoft publicará pronto un SO Windows Cloud
El CEO de Microsoft, Steve Ballmer, ha anunciado algunos detalles sobre el futuro sistema operativo que permitirá a los desarrolladores escribir aplicaciones para Internet....
OpenOffice 2.2.1 soluciona vulnerabilidad crítica
Se ha reportado una vulnerabilidad de alto riesgo en OpenOffice durante el manejo de documentos RTF. ...
Diseñadores de virus utilizan sus programas para insultarse entre sí
Insatisfechos con llenar el correo electrónico de todo el mundo con mensajes basura y debilitar millones de computadoras, los diseñadores de virus informáticos comenzaron a usar sus anónimos programas para insultarse entre sí, informaron experto...
India cierra servidor vinculado a #Duqu
Alquilado a un cliente de Milán por la empresa de hosting Werks Web, el servidor estaba intercambiando comunicaciones con varios pc Windows infectados....
Y el cómputo en la nube ¿cómo se protege?
Son insuficientes los sistemas tradicionales de seguridad: control de accesos, prevención de información y autenticación de usuarios...
Microsoft crea Sentido?
Microsoft intenta crear un sentido de comunidad para combatir a Linux. El movimiento del open-source, o software libre, agrupado en torno a Linux, ha alcanzado ya la categoría de enemigo oficial de Microsoft....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • ejecuta
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mediante
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wmf
  • xanadu
  • xfce
  • xombra