Virus y Troyanos

El informe de esta semana centra su atención en un backdoor -Ryknos.A-, tres vulnerabilidades en el motor de tratamiento de gráficos de Windows, un gusano -Lupper.A-, y un troyano -Zagaban.H-.

11-11-2005 - Ryknos.A es un backdoor que abre el puerto 8080 y se conecta a varias direcciones IP para recibir órdenes de control -como borrar, descargar o ejecutar archivos- que llevar a cabo en el ordenador afectado.

Ryknos.A se instala en el directorio de sistema de Windows con el nombre "$SYS$DRV.EXE". De este modo, se aprovecha en ordenadores que tengan instalado el software de Sony llamado Digital Rights Management (Gestión de Derechos Digitales) del rootkit incluido en dicho software, que se encarga de ocultar del Explorador de Windows cualquier fichero cuyo nombre empiece por los caracteres "$SYS$".

Los tres problemas de seguridad a los que nos referimos hoy son: Graphics Rendering Engine, Windows Metafile (WMF) y Enhanced Metafile (EMF). Permiten controlar de forma remota el ordenador afectado con los mismos privilegios que el usuario que haya iniciado la sesión, o lanzar ataques de Denegación de Servicio contra el ordenador afectado.

Las mencionadas vulnerabilidades, que están calificadas como "críticas", se deben a problemas en el tratamiento de los formatos de imagen de metarchivos de Windows (WMF) y metarchivos mejorados (EMF). En la práctica, afectan a cualquier aplicación que presente imágenes WMF o EMF en Windows 2000, Windows XP y Windows Server 2003.

Los citados problemas de seguridad pueden ser aprovechados por un atacante, mediante una imagen especialmente creada que puede ser enviada por correo electrónico, alojada en una página web, embebida en un documento Office, o almacenada en una unidad compartida de red. Además, un agresor podría aprovecharse de estas vulnerabilidades si en el ordenador afectado consigue iniciar sesión localmente y ejecutar un programa creado para tal fin.

Para evitar dichos problemas de seguridad, Microsoft ha publicado actualizaciones de Windows 2003, Windows XP y Windows 2000, que son los sistemas operativos afectados. Se recomienda consultar el boletín MS05-053 publicado por Microsoft -en http://www.microsoft.com/technet/security/bulletin/MS05-053.mspx - para conocer las direcciones de descarga de las diferentes actualizaciones, o emplear Windows Update para actualizar los sistemas.

Lupper.A, por su parte, es un gusano que afecta a plataformas Linux, aprovechándose para ello de dos problemas de seguridad, concretamente de los denominados AWStats Rawlog Plugin Input Vulnerability y XML-RPC for PHP Remote Code Execution Exploit. Lupper.A descarga -de una dirección IP- una copia suya, que posteriormente guarda (en /tmp/lupii) y ejecuta. Además, este gusano abre -en el puerto 7111- un backdoor, que permite controlar el PC de forma remota.

Terminamos el presente informe con Zagaban.H que, como todos los troyanos, no posee medios propios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios).

En el equipo al que afecta, Zagaban.H lleva a cabo varias acciones, entre las que destacan las siguientes:

- Monitoriza las direcciones web (a las que accede el usuario mediante el navegador Internet Explorer), en las que busca cadenas de texto relacionadas con entidades bancarias. Si encuentra alguna de las referidas cadenas, registra la dirección web donde la ha hallado y las pulsaciones de teclado realizadas en ella, por lo que puede conseguir información confidencial (contraseñas de acceso, números de cuenta, números secretos, etc.), con el riesgo que conlleva. Posteriormente envía los datos que ha obtenido a un determinado servidor web.

- Crea, en el directorio de sistema de Windows, dos archivos: IPREG.EXE, que es una copia suya, y SPDR.DLL, que es una Librería de Enlace Dinámico que inyecta en todos los procesos que se lancen.


Para más información:
http://www.pandasoftware.es/virus_info/