Archivado en Internet

" NO HAGA CLIC AQU脥 para ser removido "

Nuevo virus/troyano inform谩tico


Hacer clic en mensajes no solicitados y usar la barra de desplazamiento para visualizar una p谩gina web, puede llegar a ejecutar c贸digo malicioso en nuestra computadora. Un mensaje conteniendo un enlace con la leyenda "click here to remove", es parte de un nuevo troyano que utiliza la vulnerabilidad Drag and Drop (arrastrar y soltar) detectada recientemente en el Internet Explorer.


pdf
print
pmail
Si el usuario hace clic en dicho mensaje (en espa帽ol significa "haga clic aqu铆 para ser removido"), entonces es enviado a una p谩gina en donde se le solicita usar el puntero del mouse para desplazar las barras de desplazamiento a los efectos de visualizar lo que est谩 oculto. Esta es una acci贸n muy com煤n que cualquiera de nosotros suele realizar cientos de veces mientras navegamos por p谩ginas que ocupan m谩s de una pantalla.

Sin embargo, en este caso esta acci贸n oculta un exploit que se aprovecha de un fallo en el Internet Explorer, y que lleva a la ejecuci贸n de un c贸digo.

El c贸digo es un troyano del tipo proxy con puerta trasera ( Win32/Agent.CE ), y permite que una vez ejecutado, un usuario remoto pueda utilizar nuestra m谩quina como una lanzadera de correo spam. Sin embargo, el tipo de explotaci贸n de este fallo, puede ser f谩cilmente modificado para que se pueda descargar y ejecutar cualquier otra clase de c贸digo, lo que incluye cualquier tipo de virus o gusano mucho m谩s da帽ino.

Es importante que recordemos que jam谩s debemos hacer clic sobre enlaces que aparezcan en mensajes no solicitados llegados a nuestro buz贸n. Una de las razones es que f谩cilmente podr铆an ser usados para ejecutar cualquier clase de c贸digo malicioso. Y este tipo de fallo no es privativo del software de Microsoft. Otros navegadores y clientes de correo tambi茅n son afectados por algunos de los 煤ltimos exploits detectados.

La otra raz贸n de no responder o hacer clic sobre estos enlaces, est谩 en que generalmente esto no lleva a desuscribir nuestra direcci贸n de correo de la lista del spammer de turno, si no todo lo contrario. Es como decir en letras may煤sculas AQUI ESTOY, Y MI DIRECCION ES VERDADERA, para que pronto nos convirtamos en destinatarios de mucho m谩s spam (y mucho m谩s del que nos imaginamos a medida que nuestra direcci贸n empiece a distribuirse a otros spammers).

La 煤nica medida pr谩ctica a tomar en el caso de recibir correo no solicitado, tenga o no enlaces, es borrarlo de nuestro buz贸n, sin siquiera intentar abrirlo.

Seg煤n alguna legislaci贸n norteamericana, adoptada en parte por otros pa铆ses, lo m铆nimo que se le exige a un correo para que no sea considerado spam, es que tenga alguna opci贸n para decidir no recibir m谩s mensajes. Aunque ya de por si es un disparate (los expertos en leyes no estudian seguridad inform谩tica), ahora se suma que es muy f谩cil convertir esa acci贸n en el mejor camino para explotar una vulnerabilidad y ejecutar un c贸digo no deseado.

El fallo en el procedimiento de "Drag and Drop", hecho publico en el mes de agosto, no tiene a煤n ning煤n parche publicado por parte de Microsoft. La 煤nica soluci贸n es desactivar el scripting de nuestro navegador.


Win32/Agent.CE


> CARACTERISTICAS
Si el usuario presiona el enlace pensando que dejar谩 de recibir ese tipo de correo no solicitado, no solo estar谩 enviando su propia direcci贸n a los spammers, si no que adem谩s terminar谩 recibiendo mas correo no solicitado.
El enlace lo llevar谩 a una p谩gina web con contenido malicioso que pide ser desplazada para visualizarse.

Esta p谩gina se aprovecha de la vulnerabilidad del Internet Explorer (Drag and Drop vulnerability), para la ejecuci贸n de un troyano de acceso remoto por puerta trasera.

El troyano descargado (descrito mas abajo), puede ser cualquier otro si el spammer modifica sus mensajes.


Win32/Agent.CE

Caballo de Troya que se ejecuta como servicio y como un proceso normal.

Cuando se ejecuta intenta activarse como un servidor proxy, de tal modo que cada equipo infectado puede convertirse en un repetidor de spam.

Una vez descargado, el troyano se copia a si mismo en la siguiente ubicaci贸n con los atributos de sistema, oculto y solo lectura:

c:windowssystem32w32.exe

De acuerdo a la versi贸n del sistema operativo, las carpetas "c:windows" y "c:windowssystem32" pueden variar ("c:winnt", "c:winntsystem32", "c:windowssystem").

Cuando el archivo W32.EXE se ejecuta se realiza las siguientes acciones:

Crea un servicio llamado "Windows Service Application".

Modifica el registro para asegurarse que el servicio se ejecutar谩 en modo seguro y en modo seguro con conexi贸n de red.

HKLMSYSTEMCurrentControlSetControl
SafeBootMinimalw32
(predeterminado) = Service

HKLMSYSTEMCurrentControlSetControl
SafeBootNetworkw32
(predeterminado) = Service

Para ejecutarse en cada inicio del sistema crea las siguientes claves en el registro de Windows:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun
w32 = w32.exe

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices
w32 = w32.exe

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
w32 = w32.exe

Cambia el registro para que el proxy se ejecute como un programa normal en el entorno actual del sistema, y m谩s tarde en el entorno de cualquier usuario.

Inicia su modo de operaci贸n normal como proxy. Para ello el troyano queda a la escucha por el puerto TCP 9687 y otro seleccionado al azar. Este segundo puerto es registrado con el sitio web "www.earthlabs.biz" que lo controla para alg煤n uso futuro.

Para no ejecutarse mas de una vez en memoria crea el siguiente mutex:

w32



> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauraci贸n autom谩tica en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "w32", en las siguientes claves del registro:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices

HKCUSoftwareMicrosoftWindows
CurrentVersionRun

6. Busque las siguientes claves y borre la clave "w32":

HKLMSYSTEMCurrentControlSetControl
SafeBootMinimal

HKLMSYSTEMCurrentControlSetControl
SafeBootNetwork

7. Cierre el editor del Registro del sistema.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

9. Instale los parches correspondientes:

MS04-018 Parche acumulativo para Outlook Express (823353)
http://www.microsoft.com/technet/security/bulletin/ms04-018.mspx

MS04-025 Actualizaci贸n acumulativa para IE (867801)
http://www.microsoft.com/technet/security/Bulletin/MS04-025.mspx