WMFMaker, Gaobot.LTL y Mytob.MF

08.01.06 @ 16:54:56. Archivado en Plagas de la Red, Gusanos

WMFMaker es un programa que permite crear imágenes en formato WMF (Windows MetaFile), que aprovechan una vulnerabilidad crítica en Graphics Rendering Engine.
Ésta radica en el tratamiento de Windows 2003/XP/2000/Me/98 de los archivos WMF (Windows Meta File), por lo que se encuentran afectadas todas
aquellas aplicaciones -como Internet Explorer y Outlook- que puedan procesar este tipo de ficheros. En la práctica, con WMFMaker pueden crearse imágenes que ejecuten cualquier tipo de código malicioso -como troyanos, gusanos o cualquier otro tipo de malware- en el ordenador afectado por el mencionado problema de seguridad.

WMFMaker está preparado para ser utilizado desde la línea de comandos, incluyendo la ruta completa de la herramienta y la del ejecutable que se desea incluir dentro del fichero WMF, y que será ejecutado en caso de aprovechar la citada vulnerabilidad. De este modo, se generará un fichero con extensión .wmf y cuyo nombre varía entre "evil.wmf", o el propio nombre del ejecutable incluido en él.

Las imágenes WMF maliciosas creadas por WMFMaker pueden ser distribuidas mediante diversos métodos como, por ejemplo, alojándola en una página web y convenciendo a usuarios de que la visiten. Si la víctima utiliza Internet Explorer, al visitar la web maliciosa puede provocarse la ejecución automática de código arbitrario. Sin embargo, si se utiliza otro navegador diferente, el usuario puede ser advertido de la descarga del archivo.

Aemás del parche por su pueto, es recomendable adoptar otras medidas de seguridad, entre las que destacan las siguientes:

Leer los mensajes de correo electrónico en texto plano.

No pulsar enlaces que se hayan recibido a través de correo electrónico o
programas de mensajería instantánea, enviados por remitentes desconocidos.

Si el equipo tiene instalado Windows XP, activar DEP (Data Execution
Prevention -Prevención de Ejecución de Datos-).

La siguiente amenaza es Gaobot.LTL, gusano que para difundirse utiliza los siguientes métodos: por correo electrónico; a través de Internet, explotando las vulnerabilidades LSASS, RPC DCOM, WebDAV y UPnP; por redes de ordenadores; mediante programas de intercambio de archivos punto a punto (P2P); a través de AOL Instant Messenger (AIM) y de IRC.

Gaobot.LTL se conecta a diversos servidores IRC para recibir órdenes de control remoto (como obtener contraseñas del ordenador, lanzar ataques de Denegación de Servicio, escanear direcciones IP, etc.). También impide acceder a páginas web pertenecientes a empresas de seguridad informática lo que, por ejemplo, puede conllevar que los programas antivirus no se actualicen, dejando así el equipo vulnerable a los ataques de nuevos ejemplares de malware.
Se termina con Mytob.MF, gusano que se propaga a través del correo electrónico, en un mensaje escrito en inglés y de características variables, que incluye el archivo Abuse_Seport.zip. Para conseguir difundirse al mayor número posible de equipos este código malicioso utiliza técnicas de Ingeniería Social. En concreto, el mensaje en el que se envía simula proceder de un departamento de denuncias y acusa a quien lo recibe de haber cometido actos ilegales con su ordenador.

Cuando se descomprime y, a continuación, se ejecuta el archivo Abuse_Seport.zip, Mytob.MF se instala en el equipo, en el que lleva a cabo varias acciones, como buscar -en determinados ficheros del ordenador- direcciones de correo electrónico, a las que envía una copia suya. Además, finaliza procesos en memoria correspondientes a diversas aplicaciones de seguridad, e impide el acceso a varias páginas web que pertenecen, entre otras, a empresas antivirus.

Comentarios:

Se muestran únicamente los últimos 40 comentarios de cada post.

Los comentarios para este post están cerrados.