Ejecución de troyano al visualizar archivo WMF

Posted by Dabo on diciembre 29, 2005
Seguridad Informática
icored2.gifAmpliando la noticia sobre la vulnerabilidad WMF en windows, reproducimos una nota de prensa recibida de Eset (nod32),  en la que se  indica la detección de un exploit activo , que permite la ejecución de código malicioso por el simple hecho  de visualizar un archivo WMF en una carpeta de windows con la vista previa activa , o simplemente por visualizar una pagina web via internet. El mayor peligro es que no hay que hace clic en ningún archivo para que se ejecute.

Eset, proveedor global de protección
antivirus de última generación, anunció hoy la aparición de un nuevo troyano
capaz de ejecutarse automáticamente al visualizar un cierto tipo de archivo
bajo Windows, y que comenzó a ser enviado masivamente en un mensaje de
correo electrónico durante el día de hoy.

El exploit se vale de una vulnerabilidad en el proceso de archivos de
imágenes WMF (Windows Metafile), que puede permitir la ejecución remota de
código en el sistema. Cualquier programa que procese imágenes WMF en el
equipo afectado, puede ser vulnerable a un ataque.

De este modo, no solo los usuarios de Internet Explorer están involucrados,
sino también quienes utilicen otros navegadores, tales como Firefox.

NOD32 detecta por medio de su heurística, el ejecutable malicioso que
intenta abrirse, sin necesidad de ser actualizado. Para el exploit en sí, se
ha lanzado la base de firmas 1.1342 que ya lo neutraliza directamente.

Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de
Internet o carpetas compartidas por programas P2P que contengan archivos
.WMF.

Quienes usen un cortafuegos que detecte intentos de conexión desde el PC
hacia el exterior, serán avisados del intento de conexión de un archivo a un
determinado sitio Web, que en nuestras primeras pruebas tenía el nombre de
A.EXE (ello puede ser modificado por el autor en futuras versiones, y en
este caso válido para el primer exploit detectado).

En este caso, el archivo A.EXE, de 6,641 bytes, puede copiarse en el
escritorio de Windows y en la carpeta de archivos temporales de Windows, con
los atributos de oculto.

En el caso de recibir esta alerta, se debe negar la conexión. Luego, desde
el Administrador de tareas de Windows (CTRL+ALT+SUPR), buscar y eliminar el
proceso llamado «a.exe».

También se deben borrar los siguientes archivos:
c:\windows\uniq

c:\windows\kl.exe

Quienes utilizan NOD32, el antivirus impedirá la ejecución de dicho archivo,
protegiéndolos de la posible infección. NOD32 lo detecta como variante del
Win32/TrojanDownloader.Small.AOD

El exploit propiamente dicho, es detectado por NOD32 como
Win32/TrojanDownloader.Wmfex

Es importante hacer notar que las pruebas en nuestro laboratorio, se
realizaron con un Windows XP SP2 con todas las actualizaciones al día,
incluido el parche MS05-053 que en teoría solucionaba el problema de
ejecución de código mediante imágenes WMF/EMF (896424), y que fuera
publicado por Microsoft en noviembre pasado. Más tarde se comprobó que el
exploit se basa en una vulnerabilidad totalmente nueva.

La vulnerabilidad afecta a todas las computadoras que ejecuten Windows XP
(SP2 incluido) y Windows Server 2003 (SP1 incluido).

Reiteramos, mucha precaución a la hora de navegar, no hacerlo por sitios no
conocidos, y mantener al día los antivirus. Aún ahora no todos detectan el
exploit o sus variantes.

Descripciones sobre los códigos maliciosos aquí listados pueden encontrarse
en EnciclopediaVirus.com.

© Eset, 2005

Tags:

Comments are closed.

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad