Archivado en Internet

" NO HAGA CLIC AQUÍ para ser removido "

Nuevo virus/troyano informático


Hacer clic en mensajes no solicitados y usar la barra de desplazamiento para visualizar una página web, puede llegar a ejecutar código malicioso en nuestra computadora. Un mensaje conteniendo un enlace con la leyenda "click here to remove", es parte de un nuevo troyano que utiliza la vulnerabilidad Drag and Drop (arrastrar y soltar) detectada recientemente en el Internet Explorer.


pdf
print
pmail
Si el usuario hace clic en dicho mensaje (en español significa "haga clic aquí para ser removido"), entonces es enviado a una página en donde se le solicita usar el puntero del mouse para desplazar las barras de desplazamiento a los efectos de visualizar lo que está oculto. Esta es una acción muy común que cualquiera de nosotros suele realizar cientos de veces mientras navegamos por páginas que ocupan más de una pantalla.

Sin embargo, en este caso esta acción oculta un exploit que se aprovecha de un fallo en el Internet Explorer, y que lleva a la ejecución de un código.

El código es un troyano del tipo proxy con puerta trasera ( Win32/Agent.CE ), y permite que una vez ejecutado, un usuario remoto pueda utilizar nuestra máquina como una lanzadera de correo spam. Sin embargo, el tipo de explotación de este fallo, puede ser fácilmente modificado para que se pueda descargar y ejecutar cualquier otra clase de código, lo que incluye cualquier tipo de virus o gusano mucho más dañino.

Es importante que recordemos que jamás debemos hacer clic sobre enlaces que aparezcan en mensajes no solicitados llegados a nuestro buzón. Una de las razones es que fácilmente podrían ser usados para ejecutar cualquier clase de código malicioso. Y este tipo de fallo no es privativo del software de Microsoft. Otros navegadores y clientes de correo también son afectados por algunos de los últimos exploits detectados.

La otra razón de no responder o hacer clic sobre estos enlaces, está en que generalmente esto no lleva a desuscribir nuestra dirección de correo de la lista del spammer de turno, si no todo lo contrario. Es como decir en letras mayúsculas AQUI ESTOY, Y MI DIRECCION ES VERDADERA, para que pronto nos convirtamos en destinatarios de mucho más spam (y mucho más del que nos imaginamos a medida que nuestra dirección empiece a distribuirse a otros spammers).

La única medida práctica a tomar en el caso de recibir correo no solicitado, tenga o no enlaces, es borrarlo de nuestro buzón, sin siquiera intentar abrirlo.

Según alguna legislación norteamericana, adoptada en parte por otros países, lo mínimo que se le exige a un correo para que no sea considerado spam, es que tenga alguna opción para decidir no recibir más mensajes. Aunque ya de por si es un disparate (los expertos en leyes no estudian seguridad informática), ahora se suma que es muy fácil convertir esa acción en el mejor camino para explotar una vulnerabilidad y ejecutar un código no deseado.

El fallo en el procedimiento de "Drag and Drop", hecho publico en el mes de agosto, no tiene aún ningún parche publicado por parte de Microsoft. La única solución es desactivar el scripting de nuestro navegador.


Win32/Agent.CE


> CARACTERISTICAS
Si el usuario presiona el enlace pensando que dejará de recibir ese tipo de correo no solicitado, no solo estará enviando su propia dirección a los spammers, si no que además terminará recibiendo mas correo no solicitado.
El enlace lo llevará a una página web con contenido malicioso que pide ser desplazada para visualizarse.

Esta página se aprovecha de la vulnerabilidad del Internet Explorer (Drag and Drop vulnerability), para la ejecución de un troyano de acceso remoto por puerta trasera.

El troyano descargado (descrito mas abajo), puede ser cualquier otro si el spammer modifica sus mensajes.


Win32/Agent.CE

Caballo de Troya que se ejecuta como servicio y como un proceso normal.

Cuando se ejecuta intenta activarse como un servidor proxy, de tal modo que cada equipo infectado puede convertirse en un repetidor de spam.

Una vez descargado, el troyano se copia a si mismo en la siguiente ubicación con los atributos de sistema, oculto y solo lectura:

c:windowssystem32w32.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:windows" y "c:windowssystem32" pueden variar ("c:winnt", "c:winntsystem32", "c:windowssystem").

Cuando el archivo W32.EXE se ejecuta se realiza las siguientes acciones:

Crea un servicio llamado "Windows Service Application".

Modifica el registro para asegurarse que el servicio se ejecutará en modo seguro y en modo seguro con conexión de red.

HKLMSYSTEMCurrentControlSetControl
SafeBootMinimalw32
(predeterminado) = Service

HKLMSYSTEMCurrentControlSetControl
SafeBootNetworkw32
(predeterminado) = Service

Para ejecutarse en cada inicio del sistema crea las siguientes claves en el registro de Windows:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun
w32 = w32.exe

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices
w32 = w32.exe

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
w32 = w32.exe

Cambia el registro para que el proxy se ejecute como un programa normal en el entorno actual del sistema, y más tarde en el entorno de cualquier usuario.

Inicia su modo de operación normal como proxy. Para ello el troyano queda a la escucha por el puerto TCP 9687 y otro seleccionado al azar. Este segundo puerto es registrado con el sitio web "www.earthlabs.biz" que lo controla para algún uso futuro.

Para no ejecutarse mas de una vez en memoria crea el siguiente mutex:

w32



> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "w32", en las siguientes claves del registro:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices

HKCUSoftwareMicrosoftWindows
CurrentVersionRun

6. Busque las siguientes claves y borre la clave "w32":

HKLMSYSTEMCurrentControlSetControl
SafeBootMinimal

HKLMSYSTEMCurrentControlSetControl
SafeBootNetwork

7. Cierre el editor del Registro del sistema.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

9. Instale los parches correspondientes:

MS04-018 Parche acumulativo para Outlook Express (823353)
http://www.microsoft.com/technet/security/bulletin/ms04-018.mspx

MS04-025 Actualización acumulativa para IE (867801)
http://www.microsoft.com/technet/security/Bulletin/MS04-025.mspx