Alerta: Troyano que se ejecuta mediante archivos WMF


Se ha detectado un exploit activo, que permite la ejecución
de código malicioso por el simple hecho de visualizar un
archivo con extensión WMF en una carpeta de Windows con vista
previa activa, o simplemente por visualizar una página web
vía Internet. El mayor peligro es que no hay que hacer clic
en ningún archivo para que se ejecute.





El exploit se vale de una vulnerabilidad en el proceso de
archivos de imágenes WMF (Windows Metafile), que puede
permitir la ejecución remota de código en el sistema.
Cualquier programa que procese imágenes WMF en el equipo
utilizando el componente de Windows afectado, puede ser
vulnerable a un ataque.

De este modo, no solo los usuarios de Internet Explorer están
involucrados, sino también quienes utilicen otros
navegadores, tales como Firefox.

Con el primer exploit reportado, NOD32 detectó por medio de
su heurística, el ejecutable malicioso que intentaba abrirse,
sin necesidad de ser actualizado (debemos hacer notar que se
han divulgado otras variantes luego de ello). Para el exploit
en si, se ha lanzado la base de firmas 1.1342 que ya lo
neutraliza.

Aconsejamos precaución extrema a la hora de abrir adjuntos,
páginas de Internet o carpetas compartidas por programas P2P
que contengan archivos .WMF.

Quienes usen un cortafuegos que detecte intentos de conexión
desde el PC hacia el exterior (por ejemplo ZoneAlarm), serán
avisados del intento de conexión de un archivo a un
determinado sitio Web, que en nuestras primeras pruebas tenía
el nombre de A.EXE (ello puede ser modificado por el autor en
futuras versiones, y en este caso, esto es válido para el
primer exploit detectado. Ver "Información de último momento"
al final de este artículo).

El exploit creaba y ejecutaba un archivo llamado A.EXE, de
6,641 bytes. El mismo puede copiarse y ejecutarse en el
escritorio de Windows y en la carpeta de archivos temporales
de Windows, con los atributos de oculto.

En el caso de recibirse esta alerta, se debe negar la
conexión. Luego, desde el Administrador de tareas de Windows
(CTRL+ALT+SUPR), basta con buscar y eliminar el proceso
llamado "a.exe".

También se deben borrar los siguientes archivos:

c:\windows\uniq
c:\windows\kl.exe

Para quienes utilicen NOD32, el antivirus impedirá la
ejecución de dicho archivo, protegiéndolos de la posible
infección. NOD32 lo detecta como una variante del
Win32/TrojanDownloader.Small.AOD

El exploit propiamente dicho, es detectado por NOD32 como
Win32/TrojanDownloader.Wmfex (ver "TrojanDownloader.Wmfex.
Detección para exploit WMF,
http://www.vsantivirus.com/trojandownloader-wmfex.htm)

Es importante hacer notar que las pruebas en nuestro
laboratorio, se realizaron con un Windows XP SP2 con todas
las actualizaciones al día, incluido el parche MS05-053 que
solucionaba un problema de ejecución de código mediante
imágenes WMF/EMF (896424), y que fuera publicado por
Microsoft en noviembre pasado. Más tarde se comprobó que el
exploit está basado en una vulnerabilidad totalmente nueva
(ver "Información de último momento" al final de este
artículo).

Dicha vulnerabilidad afecta a todas las computadoras que
ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1
incluido). Otras versiones de Windows que utilicen el visor
de imágenes y fax de Windows también son afectadas (ver
"Vulnerabilidad en visor de imágenes y fax de Windows",
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm)

Debido a consultas y comentario recibidos, no está de más
aclarar que esta alerta no es una broma por el día de los
inocentes (28 de diciembre), sino que se trata de algo
totalmente real.


* Información de último momento [29/12/05 06:15 -0200]

1. No se trata de la vulnerabilidad corregida en el parche
MS05-053 como se dijo en este mismo artículo anteriormente,
sino de una nueva vulnerabilidad descubierta el mismo día de
ser explotada (28 de diciembre). Un auténtico "zero-day".

2. La vulnerabilidad no depende del navegador, se puede
infectar cualquier persona usando otros navegadores, como por
ejemplo Firefox. Solo basta que se descargue una imagen que
tenga el exploit, y esté utilizando una de las versiones
vulnerables de Windows.

3. Existen al menos tres variaciones del exploits (28/12/05
20:58 -0200), que están siendo utilizadas para la descarga de
otros troyanos. Los más típicos son los que muestran un falso
anuncio de alerta de infección para que se descargue un
supuesto software anti-spyware o anti-troyano. Esto no es
nuevo y no debemos aceptar nunca seguir un enlace de este
tipo si nos aparece una ventana con esta clase de alerta
mientras navegamos, y la misma no es la de nuestro antivirus.
Lo nuevo aquí es que se utiliza el nuevo exploit para
aprovecharse de esto y ejecutar la falsa alerta de forma
automática.

4. Aún cuando no se abra una imagen haciendo doble clic en
ella, ni se utilice el Explorador de Windows para visualizar
una carpeta que tenga una imagen con el exploit, podemos
infectarnos si tenemos instaladas utilidades como por ejemplo
Google Desktop, ya que las mismas crean un índice de imágenes
para hacer búsquedas más rápidas, y ello es suficiente para
que se ejecute el exploit. Ello está relacionado con el visor
usado por Windows para ver las pre visualizaciones de
imágenes, faxes, etc. Esto se explica en el siguiente
artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

5. En ese mismo artículo, se dan algunas soluciones
alternativas de protección, como la de desregistrar el
componente afectado (SHIMGVW.DLL), al menos mientras
Microsoft no publique un parche actualizado.

Reiteramos, mucha precaución a la hora de navegar, no hacerlo
por sitios no conocidos, y mantener al día los antivirus. Aún
ahora no todos detectan el exploit o sus variantes.


* Resultados de las primeras muestras examinadas por el
servicio de Hispasec, VirusTotal:

Este es el resultado de analizar el archivo "exploit.wmf" que
VirusTotal ha procesado el DIA 28/12/2005 a las 18:33:20
(CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
Avast 4.6.695.0 28.12.2005 Win32:Exdown
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig
BitDefender 7.2 28.12.2005 Exploit.Win32.WMF-PFV
CAT-QuickHeal 8.00 28.12.2005 no ha encontrado virus
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 W32/WMF-exploit
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 28.12.2005 Trojan-
Downloader.Win32.Agent.acd
McAfee 4661 28.12.2005 Exploit-WMF
NOD32v2 1.1342 28.12.2005 Win32/TrojanDownloader.Wmfex
Norman 5.70.10 28.12.2005 no ha encontrado virus
Panda 8.02.00 28.12.2005 no ha encontrado virus
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 Bloodhound.Exploit.56
TheHacker 5.9.1.063 28.12.2005 Exploit/WMF
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 no ha encontrado virus

Este es el resultado de analizar el archivo "a.exe" que
VirusTotal ha procesado el DIA 28/12/2005 a las 18:36:27
(CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
Avast 4.6.695.0 28.12.2005 Win32:Harnig-J
AVG 718 27.12.2005 no ha encontrado virus
Avira 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C
BitDefender 7.2 28.12.2005 BehavesLike:Trojan.Downloader
CAT-QuickHeal 8.00 28.12.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 26.12.2005 no ha encontrado virus
DrWeb 4.33 28.12.2005 Trojan.DownLoader.6084
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus
Ewido 3.5 28.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 28.12.2005 suspicious
F-Prot 3.16c 28.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.12.2005 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 28.12.2005 no ha encontrado virus
McAfee 4661 28.12.2005 StartPage-IC
NOD32v2 1.1342 28.12.2005 probably a variant of
Win32/TrojanDownloader.Small.AOD
Norman 5.70.10 28.12.2005 W32/Downloader
Panda 8.02.00 28.12.2005 Trj/Downloader.GQA
Sophos 4.01.0 28.12.2005 no ha encontrado virus
Symantec 8.0 28.12.2005 no ha encontrado virus
TheHacker 5.9.1.063 28.12.2005 Trojan/Downloader-IC
UNA 1.83 28.12.2005 no ha encontrado virus
VBA32 3.10.5 28.12.2005 suspected of Trojan-
Downloader.Agent.35


Fuente:
Por Jose Luis Lopez (*)
videosoft.net.uy

(*) Jose Luis Lopez es el responsable de contenidos de
VSAntivirus.com, y director técnico y gerente general de
NOD32 Uruguay.



Otras noticias de interés:

Skolelinux 2.0 - GNU+Linux para escuelas
Nacido en Noruega en el año 2003, el flamante Skolelinux 2.0 fue liberado hace solamente algunos días. Se trata de un CD con sistema operativo GNU+Linux optimizado para escuelas y universidades....
Ubuntulite el Ubuntu Ligero!
Ubuntulite corre LXDE, el escritorio liviano X11,por defecto. Y ha sido probado bajo diferentes configuraciones de hardware dando excelentes resultados. ...
El Mac cumple 25 años
El producto emblema de Apple fue el primer ordenador comercial con ratón e interfaz gráfico y salió al mercado con un precio de 2.500 dólares....
Descubierta una vulnerabilidad DNS Map en Sendmail 8.12.x
Ha sido identificada una nueva vulnerabilidad que afecta a las versiones de Sendmail 8.12.x anteriores a la 8.12.9. Aprovechando este problema, un atacante podría provocar una denegación de servicios (DoS) y ejecutar código arbitrario de forma rem...
Geolocalización, aliada de los ciberdelincuentes
Los cada vez más abundantes servicios que utilizan la geolocalización, así como la confianza de los usuarios revelando información a través de las redes sociales, son armas utilizadas por los delincuentes para preparar ataques más concretos y d...
Utiliza OpenDNS para evitar el fallo crítico de los DNS
Seguramente lo leíste o escuchaste en algún medio, toda internet está siendo parcheada debido a un problema de seguridad detectado en los DNS....
Documental sobre las Guerras Cibernéticas
Un excelente documental sobre las ciber guerrillas realizado por el canal de televisión Odisea (especializado en documentales). Aquí se trata del caso de Estonia, el país que en el 2007 sufrió uno de los mas grandes ciber ataques registrados hast...
Seguridad en entornos SaaS e Cloud Computing
Mientras el hombre es un animal de costumbres, a la tecnología la mueven las modas. Así pues, hemos pasado de la centralización (antiguos servidores Mainframe que ocupaban una habitación completa), a la descentralización, es decir, tener una má...
Yahoo! revela las direcciones de sus usuarios
Este fin de semana, hizo su aparición un nuevo gusano, con una característica novedosa que nos sorprendió, aunque el gusano en si mismo no tiene nada de sorprendente....
Oracle corrige 14 vulnerabilidades en Java
Oracle ha sacado una actualización para Java que persigue corregir 14 vulnerabilidades del sistema. La nueva versión es Java SE 6 Update 31, y se recomienda a los usuarios que procedan a su instalación para solucionar problemas de seguridad detect...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • ejecuta
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mediante
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wmf
  • xanadu
  • xfce
  • xombra