Llegan los primeros ataques "JPEG"

Archivado en

VIRUS

Llegan los primeros ataques "JPEG"


Tres troyanos han iniciado su expansión por internet, por suerte con efectos aún limitados, explotando la vulnerabilidad den el tratamiento de las imagenes JPG que presentan algunas de las aplicaciones más conocidas de Microsoft.


pdf
print
pmail









VISITANOS SI QUIERES ESTAR INFORMADO



SECCIÓN SINDICAL FRATERNIDAD
MUPRESPA








Un troyano que explota la vulnerabilidad en la librería GDI+ usada por Microsoft
para visualizar archivos JPEG, es empleado en nuevos ataques de PHISHING
(técnicas utilizadas para obtener información confidencial mediante engaños para
suplantar remitentes o sitios legítimos).



Sin embargo, el troyano no puede atacar a un sistema directamente a través del
Internet Explorer o del Outlook, sino solamente a través del Explorador de
Windows. Esto significa que el atacante debe persuadir o engañar al usuario,
para que visualice la imagen como si fuera un archivo en una carpeta del
sistema.



Esto limita su propagación, pero nos indica que los piratas informáticos están
experimentando técnicas que les permitan sacar provecho de esta vulnerabilidad .



¿Como funciona?



Cuando el usuario visualiza la imagen JPEG (en los primeros reportes, llamada
DUCKY.JPG), el exploit descarga un archivo llamado LL.EXE o Y.EXE de un sitio
llamado MAYBEYES.BIZ. Dicho archivo es grabado como DIVXENCODER.EXE en el
directorio de Windows (normalmente C:WINDOWS), o en la raíz de C:, y luego
ejecutado.



Cuando se ejecuta, dicho archivo inyecta un DLL en el mismo proceso del
Explorador de Windows (EXPLORER.EXE).



Una variante descarga un archivo llamado T2.EXE de una determinada dirección IP.



Luego de ello, el troyano inyectado en dicho proceso, intenta contactarse a
diferentes sistemas de la misma red del proveedor como MAYBEYES.BIZ, y descarga
de él una plantilla en forma de archivo XML. Este archivo describe el mensaje en
forma de spam que utiliza las técnicas de phishing, que será enviado desde el
sistema infectado, y las direcciones electrónicas a las que dicho mensaje será
remitido.



El mensaje en si mismo, simula ser enviado por el Citibank y solicita al usuario
que confirme sus datos personales "antes que su cuenta bancaria sea bloqueada".
El cuerpo del mensaje en si mismo no es un texto, sino una imagen con enlaces
mapeados en ella.



Si el usuario hace clic en los enlaces indicados, es enviado a una página Web
controlada por el atacante. La página muestra como fondo la página actual del
Citibank para simular su legitimidad, y despliega sobre la misma una ventana
emergente (pop-up), que lleva a enlaces que controla el atacante. Esta ventana
emergente solicita la información de la cuenta bancaria de la víctima.



Podrían existir otros casos similares, utilizando otros blancos en lugar del
Citibank, pero no está claro si el troyano es capaz de utilizar otros servidores
cuando los anteriores son cerrados, o se requiere una compilación diferente cada
vez (cuando se detectan este tipo de acciones y las mismas son denunciadas, los
proveedores involucrados suelen dar de baja los sitios relacionados).



Este tipo de ataque podría ser mejorado en el futuro.



Se recomienda no aceptar enlaces en mensajes no solicitados, así como no abrir
adjuntos de ninguna clase.



Los usuarios que hayan instalado el Service Pack 2 de Windows XP no son
vulnerables, pero podrían serlo si visualizan una imagen infectada con alguno de
los demás programas que podrían ser vulnerables.



Troyano "JPEG", Troj/Ducky



Este nuevo troyano, a pesar de su jueventud ya va por su segunda variante en
poco más de una semana desde que se conoció el bug en algunas de las
aplicaciones de Microsoft el pasado 14 de septiembre.



El troyano utiliza un archivo JPG de tal modo que cuando un usuario vulnerable
lo visualiza, se intenta descargar y ejecutar en su máquina un archivo. La
descarga es realizada desde la dirección IP 69.93.58.116.



El archivo descargado se copia en la siguiente ubicación:



c:windowssystem32t2.exe



En las redes AOL



Finalmente otro gusano que explota esta vulnerabilidad ha sido ya detectado en
las redes de mensajerí instantánea de AOL, conocida como AIM.



Expertos del SANS Institute, han dicho que se han recibido muy pocos reportes
del mismo, sin embargo, es un síntoma de que los chicos malos continúan
experimentando con la vulnerabilidad reportada por Microsoft el 14 de setiembre
en su boletín MS04-028.



El mensaje en si, no difiere de otros intentos anteriores para engañar a los
usuarios, solo que en lugar de usar código HTML, se apela al formato JPEG.



Cuando una víctima recibe ese mensaje y lo lee, es dirigido a un sitio donde se
encuentra la imagen infectada.



El mensaje dice "Check out my profile, click GET INFO!" (Verifique mi perfil,
haga clic para obtener información).



Cuando se visita dicho sitio, es enviado a la computadora de la víctima el
código malicioso en la imagen JPEG visualizada. Una vez ejecutado, el usuario
infectado envía a otros contactos del AIM, el mismo mensaje recibido
anteriormente.



Fuentes: Con información procedente de Enciclopedia de virus y vsantivirus.com



NOTICIASDOT