Alerta: Troyano que se ejecuta mediante archivos WMF


Se ha detectado un exploit activo, que permite la ejecución
de código malicioso por el simple hecho de visualizar un
archivo con extensión WMF en una carpeta de Windows con vista
previa activa, o simplemente por visualizar una página web
vía Internet. El mayor peligro es que no hay que hacer clic
en ningún archivo para que se ejecute.





El exploit se vale de una vulnerabilidad en el proceso de
archivos de imágenes WMF (Windows Metafile), que puede
permitir la ejecución remota de código en el sistema.
Cualquier programa que procese imágenes WMF en el equipo
utilizando el componente de Windows afectado, puede ser
vulnerable a un ataque.

De este modo, no solo los usuarios de Internet Explorer están
involucrados, sino también quienes utilicen otros
navegadores, tales como Firefox.

Con el primer exploit reportado, NOD32 detectó por medio de
su heurística, el ejecutable malicioso que intentaba abrirse,
sin necesidad de ser actualizado (debemos hacer notar que se
han divulgado otras variantes luego de ello). Para el exploit
en si, se ha lanzado la base de firmas 1.1342 que ya lo
neutraliza.

Aconsejamos precaución extrema a la hora de abrir adjuntos,
páginas de Internet o carpetas compartidas por programas P2P
que contengan archivos .WMF.

Quienes usen un cortafuegos que detecte intentos de conexión
desde el PC hacia el exterior (por ejemplo ZoneAlarm), serán
avisados del intento de conexión de un archivo a un
determinado sitio Web, que en nuestras primeras pruebas tenía
el nombre de A.EXE (ello puede ser modificado por el autor en
futuras versiones, y en este caso, esto es válido para el
primer exploit detectado. Ver "Información de último momento"
al final de este artículo).

El exploit creaba y ejecutaba un archivo llamado A.EXE, de
6,641 bytes. El mismo puede copiarse y ejecutarse en el
escritorio de Windows y en la carpeta de archivos temporales
de Windows, con los atributos de oculto.

En el caso de recibirse esta alerta, se debe negar la
conexión. Luego, desde el Administrador de tareas de Windows
(CTRL+ALT+SUPR), basta con buscar y eliminar el proceso
llamado "a.exe".

También se deben borrar los siguientes archivos:

c:\windows\uniq
c:\windows\kl.exe

Para quienes utilicen NOD32, el antivirus impedirá la
ejecución de dicho archivo, protegiéndolos de la posible
infección. NOD32 lo detecta como una variante del
Win32/TrojanDownloader.Small.AOD

El exploit propiamente dicho, es detectado por NOD32 como
Win32/TrojanDownloader.Wmfex (ver "TrojanDownloader.Wmfex.
Detección para exploit WMF,
http://www.vsantivirus.com/trojandownloader-wmfex.htm)

Es importante hacer notar que las pruebas en nuestro
laboratorio, se realizaron con un Windows XP SP2 con todas
las actualizaciones al día, incluido el parche MS05-053 que
solucionaba un problema de ejecución de código mediante
imágenes WMF/EMF (896424), y que fuera publicado por
Microsoft en noviembre pasado. Más tarde se comprobó que el
exploit está basado en una vulnerabilidad totalmente nueva
(ver "Información de último momento" al final de este
artículo).

Dicha vulnerabilidad afecta a todas las computadoras que
ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1
incluido). Otras versiones de Windows que utilicen el visor
de imágenes y fax de Windows también son afectadas (ver
"Vulnerabilidad en visor de imágenes y fax de Windows",
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm)

Debido a consultas y comentario recibidos, no está de más
aclarar que esta alerta no es una broma por el día de los
inocentes (28 de diciembre), sino que se trata de algo
totalmente real.


* Información de último momento [29/12/05 06:15 -0200]

1. No se trata de la vulnerabilidad corregida en el parche
MS05-053 como se dijo en este mismo artículo anteriormente,
sino de una nueva vulnerabilidad descubierta el mismo día de
ser explotada (28 de diciembre). Un auténtico "zero-day".

2. La vulnerabilidad no depende del navegador, se puede
infectar cualquier persona usando otros navegadores, como por
ejemplo Firefox. Solo basta que se descargue una imagen que
tenga el exploit, y esté utilizando una de las versiones
vulnerables de Windows.

3. Existen al menos tres variaciones del exploits (28/12/05
20:58 -0200), que están siendo utilizadas para la descarga de
otros troyanos. Los más típicos son los que muestran un falso
anuncio de alerta de infección para que se descargue un
supuesto software anti-spyware o anti-troyano. Esto no es
nuevo y no debemos aceptar nunca seguir un enlace de este
tipo si nos aparece una ventana con esta clase de alerta
mientras navegamos, y la misma no es la de nuestro antivirus.
Lo nuevo aquí es que se utiliza el nuevo exploit para
aprovecharse de esto y ejecutar la falsa alerta de forma
automática.

4. Aún cuando no se abra una imagen haciendo doble clic en
ella, ni se utilice el Explorador de Windows para visualizar
una carpeta que tenga una imagen con el exploit, podemos
infectarnos si tenemos instaladas utilidades como por ejemplo
Google Desktop, ya que las mismas crean un índice de imágenes
para hacer búsquedas más rápidas, y ello es suficiente para
que se ejecute el exploit. Ello está relacionado con el visor
usado por Windows para ver las pre visualizaciones de
imágenes, faxes, etc. Esto se explica en el siguiente
artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

5. En ese mismo artículo, se dan algunas soluciones
alternativas de protección, como la de desregistrar el
componente afectado (SHIMGVW.DLL), al menos mientras
Microsoft no publique un parche actualizado.

Reiteramos, mucha precaución a la hora de navegar, no hacerlo
por sitios no conocidos, y mantener al día los antivirus. Aún
ahora no todos detectan el exploit o sus variantes.


* Resultados de las primeras muestras examinadas por el
servicio de Hispasec, VirusTotal:

Este es el resultado de analizar el archivo "exploit.wmf" que
VirusTotal ha procesado el DIA 28/12/2005 a las 18:33:20
(CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
Avast 4.6.695.0 28.12.2005 Win32:Exdown
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
BitDefender 7.2 28.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 28.12.2005 no ha encontrado virus
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 W32/WMF-exploit
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 28.12.2005 Trojan-
Downloader.Win32.Agent.acd
McAfee 4661 28.12.2005 Exploit-WMF
NOD32v2 1.1342 28.12.2005 Win32/TrojanDownloader.Wmfex
Norman 5.70.10 28.12.2005 no ha encontrado virus
Panda 8.02.00 28.12.2005 no ha encontrado virus
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 Bloodhound.Exploit.56
TheHacker 5.9.1.063 28.12.2005 Exploit/WMF
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo "a.exe" que
VirusTotal ha procesado el DIA 28/12/2005 a las 18:36:27
(CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
Avast 4.6.695.0 28.12.2005 Win32:Harnig-J
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
BitDefender 7.2 28.12.2005 BehavesLike:Trojan.Downloader
CAT-QuickHeal 8.00 28.12.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 Trojan.DownLoader.6084
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 suspicious
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 28.12.2005 no ha encontrado virus
McAfee 4661 28.12.2005 StartPage-IC
NOD32v2 1.1342 28.12.2005 probably a variant of
Win32/TrojanDownloader.Small.AOD
Norman 5.70.10 28.12.2005 W32/Downloader
Panda 8.02.00 28.12.2005 Trj/Downloader.GQA
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 no ha encontrado virus
TheHacker 5.9.1.063 28.12.2005 Trojan/Downloader-IC
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 suspected of Trojan-
Downloader.Agent.35


Fuente:
Por Jose Luis Lopez (*)
videosoft.net.uy

(*) Jose Luis Lopez es el responsable de contenidos de
VSAntivirus.com, y director técnico y gerente general de
NOD32 Uruguay.



Otras noticias de interés:

Opera niega haberse negado a parchar vulnerabilidad
Un error en la forma en que Opera maneja los graficos de vector escalabes (SVG) puede llevar a la ejecución de código arbitrario. Opera Software ha publicado una actualización para su navegador de escritorio con el fin de hacer frente a una vulner...
Privacidad de los datos
En un mundo cada vez más interconectado, de información instantánea y servicios en la nube; la sobrecarga de la información y la pérdida de privacidad son amenazas que ya no pueden pasar desapercibidas. En este contexto, el concepto de privacida...
Preocupante vulnerabilidad de seguridad en IE
Los usuarios del navegador de Microsoft deben extremar sus precauciones....
DESHABILITAR DCOM EN WINDOWS
El bug RPC de Windows está causando estragos entre los propietarios de sistemas Windows, ya sea por exploits arrojados o por culpa del virus Blaster....
VNC Exploit
Hace poco salio una vulnerabilidad en el protocolo VNC, más exactamente la distribucion llamada REAL (RealVNC) que es una de las mas distribuidas....
4 consejos para proteger los iPhones e iPads
Mientras esperan que Apple distribuya un parche para resolver la vulnerabilidad Jailbreakme.com 3.0 en sus iPhones e iPads, los usuarios pueden tomar algunas medidas para sentirse seguros. ...
Rutkowska utiliza Windows XP... pero sin antivirus
Joanna Rutkowska, posiblemente una de las mayores expertas del mundo en malware, utiliza Windows XP x64 en su ordenador principal, y sin ningún antivirus, porque "no le gusta su aproximación al problema del malware". ...
Elige un logo para Mozilla Venezuela
La comunidad de Mozilla Venezuela se complace en informar acerca de la apertura de la votación para la elección del logo que nos represente. Después de la recepción de las propuestas, se ha pasado a la siguiente etapa que es su respectiva votaci...
Políticas de privacidad de Facebook
Estemos o no acostumbrados a los continuos cambios que constantemente realiza Facebook, la verdad es que siempre son un fastidio, sobre todo en lo que respecta a la configuración continua de nuestras propias cuentas de usuario. Pues bien, Facebook u...
PostgreSQL 8.2 Beta 1
El proyecto PostgreSQL publicó el lunes la primera versión Beta de PostgreSQL 8.2. De acuerdo a uno de los miembros principales del proyecto, Josh Berkus, la v8.2 Beta incluye entre otras novedades:...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • ejecuta
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mediante
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wmf
  • xanadu
  • xfce
  • xombra