Virus y Troyanos

El presente informe centra su atención en tres amenazas: WMFMaker, Gaobot.LTL y Mytob.MF.

09-01-2006 - WMFMaker es un programa que permite crear imágenes en formato WMF (Windows MetaFile), que aprovechan una vulnerabilidad crítica en Graphics Rendering Engine. Ésta radica en el tratamiento de Windows 2003/XP/2000/Me/98 de los archivos WMF (Windows Meta File), por lo que se encuentran afectadas todas aquellas aplicaciones -como Internet Explorer y Outlook- que puedan procesar este tipo de ficheros. En la práctica, con WMFMaker pueden crearse imágenes que ejecuten cualquier tipo de código malicioso -como troyanos, gusanos o cualquier otro tipo de malware- en el ordenador afectado por el mencionado problema de seguridad.

WMFMaker está preparado para ser utilizado desde la línea de comandos, incluyendo la ruta completa de la herramienta y la del ejecutable que se desea incluir dentro del fichero WMF, y que será ejecutado en caso de aprovechar la citada vulnerabilidad. De este modo, se generará un fichero con extensión .wmf y cuyo nombre varía entre “evil.wmf”, o el propio nombre del ejecutable incluido en él.

Las imágenes WMF maliciosas creadas por WMFMaker pueden ser distribuidas mediante diversos métodos como, por ejemplo, alojándola en una página web y convenciendo a usuarios de que la visiten. Si la víctima utiliza Internet Explorer, al visitar la web maliciosa puede provocarse la ejecución automática de código arbitrario. Sin embargo, si se utiliza otro navegador diferente, el usuario puede ser advertido de la descarga del archivo.

Hasta que Microsoft publique el parche que resuelve la mencionada vulnerabilidad, y además de contar con soluciones antimalware capaces de bloquear los códigos que se aprovechen de ella, es recomendable adoptar otras medidas de seguridad, entre las que destacan las siguientes:

* Leer los mensajes de correo electrónico en texto plano.


* No pulsar enlaces que se hayan recibido a través de correo electrónico o programas de mensajería instantánea, enviados por remitentes desconocidos.

* Si el equipo tiene instalado Windows XP, activar DEP (Data Execution Prevention -Prevención de Ejecución de Datos-).


La siguiente amenaza a la que nos referimos es Gaobot.LTL, gusano que para difundirse utiliza los siguientes métodos: por correo electrónico; a través de Internet, explotando las vulnerabilidades LSASS, RPC DCOM, WebDAV y UPnP; por redes de ordenadores; mediante programas de intercambio de archivos punto a punto (P2P); a través de AOL Instant Messenger (AIM) y de IRC.


Gaobot.LTL se conecta a diversos servidores IRC para recibir órdenes de control remoto (como obtener contraseñas del ordenador, lanzar ataques de Denegación de Servicio, escanear direcciones IP, etc.). También impide acceder a páginas web pertenecientes a empresas de seguridad informática lo que, por ejemplo, puede conllevar que los programas antivirus no se actualicen, dejando así el equipo vulnerable a los ataques de nuevos ejemplares de malware.


Terminamos el presente informe con Mytob.MF, gusano que se propaga a través del correo electrónico, en un mensaje escrito en inglés y de características variables, que incluye el archivo Abuse_Seport.zip. Para conseguir difundirse al mayor número posible de equipos este código malicioso utiliza técnicas de Ingeniería Social. En concreto, el mensaje en el que se envía simula proceder de un departamento de denuncias y acusa a quien lo recibe de haber cometido actos ilegales con su ordenador.


Cuando se descomprime y, a continuación, se ejecuta el archivo Abuse_Seport.zip, Mytob.MF se instala en el equipo, en el que lleva a cabo varias acciones, como buscar -en determinados ficheros del ordenador- direcciones de correo electrónico, a las que envía una copia suya. Además, finaliza procesos en memoria correspondientes a diversas aplicaciones de seguridad, e impide el acceso a varias páginas web que pertenecen, entre otras, a empresas antivirus.

Fuente;
PandaLabs