Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

.NET esconde una nueva forma de "meternos" un virus
 
VSantivirus No. 865 - Año 7 - Martes 19 de noviembre de 2002

.NET esconde una nueva forma de "meternos" un virus
http://www.vsantivirus.com/19-11-02.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


Un desarrollador de software, que ha empezado a escribir programas para la nueva plataforma .NET (punto NET) de Microsoft, reveló en una lista de seguridad, la demostración de un nuevo concepto de caballo de Troya que puede habilitar una puerta trasera en nuestras computadoras.

Su experiencia nos alerta sobre la posibilidad de ensamblar programas "al vuelo" sin necesidad de compilarlos antes, lo que habilita su uso malicioso con todos los peligros que ello implica.

En su ejemplo, el programador escribió un pequeño programa, el cuál contiene a su vez un "mini backdoor" (troyano con posibilidades de acceso clandestino a nuestra PC).

Este programa se ejecuta en segundo plano, y si el usuario visita una página Web especialmente preparada, el código de un virus puede ser extraído de dicho archivo HTML, ensamblado y luego ejecutado en su computadora.

El tema es que en el programa que corre en segundo plano no hay comandos maliciosos, y solo se necesita una librería runtime de .NET para que se ejecute el proceso.

El código completo del virus se localiza en el sitio Web, pero no es considerado como tal hasta que no es compilado (lo que recién ocurre en la computadora del usuario).

El ejemplo espera por la creación de un archivo .HTM en la unidad C: (ocurre cada vez que navegamos por Internet, por la simple acción del propio caché del IE). Cuando localiza un archivo en especial (el HTML preparado), extrae el código fuente del virus, lo compila y luego ejecuta.

El ejemplo lista todos los archivos de la unidad C: y borra solo uno (creado por el programador). Evidentemente, modificarlo para que cause un verdadero daño es demasiado simple.

La creación del virus también es sencilla. Solo es necesario crear su código en un lenguaje como C#, compilarlo y luego desensamblarlo con el propio .NET, para luego crear el código en una página .HTM.

El ejemplo solo soporta unos pocos comandos. Alguien podría modificarlo para que soporte otros.

Cómo sugerencia para los usuarios, el creador de esta "prueba de concepto", define como críticos estos dos puntos:

1. La posibilidad de ensamblar "al vuelo" de .NET es muy peligrosa

2. Todos los documentos (html, doc, bmp, jpg, etc.), deberían ser escaneados. Pero no solo en busca de código malicioso, sino también de todo aquello que no fuera "normal" [nota de VSA: esto es un concepto difícil de definir]. En el ejemplo, los antivirus no filtran el código HTML con el código del virus, porque éste no existe como tal hasta que es ensamblado y ejecutado en la computadora de la víctima.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS