Intento de revival de los virus de macro


spam. El virus no representa ninguna evolución del concepto y no se le espera repercusión alguna, pero supone un renovado y discreto interés por este tipo de malware, prácticamente extinto desde finales de los 90.





El espécimen se trata de un virus de macro "de toda la vida". Las macros en Microsoft Office permiten ejecutar código VBA (Visual Basic for Applications) incrustado dentro de documentos cuando son abiertos con esta aplicación. Hasta la versión Office 2000, esto se hacía de forma automática con todas las macros contenidas en los documentos, lo que ayudó a popularizar lo que se llamarían los "virus de macro". Virus como Melissa y sucesivas variantes dotaron a esta forma de ejecución automática gran popularidad.

El archivo en concreto se ha difundido por algunos países europeos con el nombre de Rechnung.doc. Lleva dentro incrustado un ejecutable, y la macro se encarga de copiarlo al disco duro y ejecutarlo. Las casas antivirus han tenido que rescatar del olvido el prefijo W97M y OF97para denominar a Fordo, como se ha dado en llamar. La detección general por parte de los antivirus ha aumentado en los últimos días, aunque desde un principio ha sido muy efectiva.

http://www.virustotal.com/analisis/d67fcf69c3b2218dba79f4b154e6b930

La única novedad de Fordo es que en vez de ejecutar su payload directamente desde la macro, como habitualmente se venía haciendo, contiene en su interior un ejecutable. La macro lo copia al disco duro y lo ejecuta. Se trata entonces de un dropper tradicional que en principio no recurre a un servidor para descargar su componente principal.

La detección de la muestra del ejecutable contenido que hemos analizado es aceptable. Se trata de un spyware tradicional, que intentará conectarse a diferentes páginas.

http://www.virustotal.com/es/analisis/def454a819753c1549253844a6249708

Desde Word 2000 las macros no se ejecutan de forma automática por defecto, a no ser que estén firmadas por alguien de confianza para el equipo. Fordo ni siquiera usa vulnerabilidades conocidas o no para saltarse esta restricción, simplemente confía en que el usuario o bien use Word 97 o tenga las macros activadas en modo de seguridad "bajo" y se ejecuten automáticamente. En caso contrario simplemente la macro será ignorada. De ahí a que su difusión se espere muy discreta. En cualquier caso el virus, una vez ejecutado, modifica esta opción y marca como "bajo" el nivel de seguridad de las macros. Con esto puede llegar a
conseguir que otros virus de macro se ejecuten en el futuro.

Más información:

Blast from the future?
http://isc.sans.org/diary.php?storyid=5029

Fuentes
Por Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Que tal?, El servidor web de iPlanet visualiza archivos del disco duro
Help Net Security ha publicado que el servidor web de iPlanet se ve afectado por un problema que permite visualizar, de forma remota, el contenido de cualquier fichero del disco duro de la máquina afectada. La vulnerabilidad afecta a las versiones i...
La sinrazón de los forwards
Algún spammer trasnochado ha creado un mensaje que está circulando por correo electrónico en el que se alaba el hecho de reenviar cualquier tipo de mensaje impersonal en cadena y se incita a no escribir mensajes personales y que establezcan una ve...
Denegación de servicios en Internet Explorer
La última versión del navegador de Microsoft se bloquea al visualizar una página web con una etiqueta OBJECT especialmente construida. Cuando un usuario visualiza la página que provoca el DoS se produce un error y fuerza al cierre de todas las se...
Comprometido contenido en el sitio del código fuente de Linux
Piratas informáticos accedieron al root de un servidor conocido con el nombre de Hera, el cual fue comprometido....
Los archivos ASF puede infectar
Los archivos con extensión ASF (Advanced Streaming Format) están diseñados para contener audio y video digital, siendo posible su reproducción por muchas aplicaciones tales como Irfanview, Winamp y otros, además de Windows Media Player. Los dere...
Creador de BitTorrent descalifica proyecto "Avalanche" de Microsoft
Bram Cohen, creador de BitTorrent, ha evaluado el proyectado sistema de intercambio de archivos Avalanche de Microsoft: Es inservible. ...
El Likejacking asaltando el Me gusta de Facebook
Los investigadores de seguridad están avisando de una nueva amenaza en Facebook, que llaman likejacking, un ataque de clickjacking para engañar a los usuarios y que hagan click en enlaces que marcan una web como Me gusta pero que apuntan a otra pá...
Zalewsky se despacha a gusto con Microsoft
Michal Zalewski es el descubridor del último bug hallado en Internet Explorer. A diferencia de lo que suele ser habitual, Zalewski se saltó el procedimiento habitual para reportar vulnerabilidades en productos de Microsoft, y en lugar de informar a...
Sun cierra partes del código MySQL
Uno de los aspectos más importante de MySQL para muchos usuarios es su naturaleza de código abierto. Por esta misma razón, la compra de MySQL por parte de Sun fue recibida con mucho escepticismo. ...
Las empresas no optimizan los recursos de sus redes y peligran por obsoletas
La optimización de las redes es esencial para maximizar los entornos cloud y tecnologías como la virtualizción, la movilidad o las comunicaciones visuales. Sin embargo, según revela un estudio realizado por Dimension Data, las empresas continúan...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • intento
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • macro
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • revival
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra