Virus y Troyanos

El troyano Ginwui aparecido durante el fin de semana se ha detectado en actividad, gracias a que toma ventaja de un agujero de seguridad nuevo, y no corregido aún, del Microsoft Word.

Eset, proveedor global de protección antivirus de última generación, informa de la aparición de un nuevo troyano descubierto durante el fin de semana, reconocido como Win32/Ginwui. Dicho troyano, aprovecha un problema de seguridad en Microsoft Word para realizar acciones encubiertas en los sistemas a los que llega.

24-05-2006 - Este nuevo código malicioso fue enviado masivamente por correo electrónico como un documento de Microsoft Word, aunque no puede propagarse por sí mismo. Si el usuario abre el documento adjunto, el troyano instala un componente más que permitirá a extraños acceder al equipo remotamente. Tras hacer esto, muestra un mensaje de error, cierra automáticamente el Microsoft Word, y reemplaza el documento que estaba infectado por otro limpio para cubrir los rastros.

El troyano hace un reconocimiento exhaustivo de qué tenemos en nuestro sistema, y se conecta periódicamente a un servidor localizado en Asia para informar que está activo y que ya puede recibir comandos.

Una segunda variante de este troyano, detectada como Win32/Ginwui.B, también fue detectada pocas horas después, y solamente tiene leves modificaciones cosméticas.

Normalmente, un documento de Microsoft Word conteniendo código malicioso debería ser bloqueado a través de las funcionalidades de seguridad del propio Word, pero en este caso, el troyano se vale de un agujero de seguridad nuevo y no corregido aún por Microsoft, quien anunció que lanzaría una actualización de seguridad para esta vulnerabilidad en la próxima liberación programada, aproximadamente prevista para el 13 de Junio.

No solamente entra en nuestro sistema de forma oculta y sin ser detectado, sino que también intenta mantenerse de esta manera tras haberse instalado. Win32/Ginwui tiene características de rootkit, funcionando de manera que los archivos que instale en el sistema, así como las modificaciones que realice no sean detectados.

El antivirus Eset NOD32 detecta ambas amenazas y los documentos de Word que las contienen. No solamente detecta las ya conocidas, sino que el laboratorio de Eset ha preparado una detección genérica que permitirá reconocer automáticamente todo nuevo código malicioso que esté basado en la misma vulnerabilidad que el Win32/Ginwui. Todos ellos serán detectados como una variante de Win32/Exploit.MSWord.Smtag, que es el nombre que se le ha asignado a la vulnerabilidad.

“Los ingenieros de Eset realizaron un trabajo muy veloz para solucionar el peligro que tenían sus clientes, y fueron capaces de generar una solución genérica contra esta vulnerabilidad. El éxito fue confirmado por los laboratorios independientes AV-Test.org”, dijo Andreas Marx, CEO de AV-Test. “Eset no sólo fue uno de las primeras compañías antivirus en tener la firma para detener el troyano Win32/GinWui, sino que también, tuvieron la primer detección genérica disponible el 21 de mayo rondando la medianoche para detener todos los futuros malware que intenten explotar esta vulnerabilidad”, completó.

Descripciones e información sobre estas nuevas amenazas informáticas pueden ser encontradas en EnciclopediaVirus.com.

Aunque estas primeras variantes del troyano Ginwui no hayan tenido un alto nivel de propagación, la vulnerabilidad existente en el Microsoft Word abre la puerta a que otros códigos maliciosos pueden aprovecharla y lograr mayores índices de infección.

“La detección genérica que Eset NOD32 ha implementado para este malware protegerá a nuestros usuarios hasta que el parche para la vulnerabilidad esté disponible, si es que otros creadores de códigos maliciosos intentan aprovecharla”, afirmó Vicente Coll, Vicepresidente de Eset para España y Gerente de Ontinet.com.

Además de contar con un antivirus actualizado y con capacidades de protección proactiva, Eset recomienda a los usuarios mantener alta las defensas, y no aceptar cualquier archivo y/o documento adjunto a los mensajes de correo electrónico que recibe, para evitar problemas de seguridad con Ginwui, o con cualquier otro código malicioso que pueda llegar a su casilla de correo.

© Eset, 2006

Para más información: www.nod32-es.com