Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

MySpace propaga troyano vía película QuickTime
 
VSantivirus No 2400 Año 11, miércoles 21 de marzo de 2007

MySpace propaga troyano vía película QuickTime
http://www.vsantivirus.com/21-03-07.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una característica documentada de Apple QuickTime (denominada HREF Tracks), es la causa de la ejecución de código malicioso desde una página Web.

Recientemente se ha detectado un troyano que se vale de esta característica mediante una película de QuickTime oculta para descargarse. Se trata de un JavaScript que es ejecutado cuando se visita una página hospedada en MySpace.

MySpace es un sitio web de interacción social formado por perfiles personales de usuarios que incluye redes de amigos, grupos, blogs, fotos, vídeos y música, además de una red interna de mensajería que permite comunicarse a unos usuarios con otros (según Wikipedia). La versión en español, aún está en fase beta.

Una página de usuario de la versión en inglés de MySpace, que promociona a un grupo musical francés, utiliza esta posibilidad para ejecutar un script que obtiene información de los usuarios que visitan dicha página y enviarla a un servidor remoto (ESET NOD32 detecta este código como JS/SpaceStalk.A).

La acción se desarrolla de la siguiente manera:

1. El usuario visita la página Web y sin saberlo, se ejecuta una película QuickTime oculta.

2. La película descarga y ejecuta automáticamente el código JavaScript del troyano.

No es la primera vez que MySpace es utilizado para infectar a usuarios desprevenidos por medio de códigos maliciosos, utilizando diversas técnicas. En el pasado sus visitantes fueron afectados por spyware y otros malwares en más de una oportunidad. En diciembre, se utilizó esta misma característica de QuickTime para distribuir un troyano que robaba contraseñas de usuarios.

En este caso, se utiliza específicamente una vulnerabilidad en una característica de Apple QuickTime, documentada por el propio Apple como una funcionalidad.

Según Apple, un HREF Tracks agrega interactividad a una película de QuickTime. Los HREF Tracks contienen enlaces (URLs) que pueden especificar otras películas que reemplacen la actual, carguen otro marco, o ejecuten al propio reproductor QuickTime. También pueden especificar funciones en JavaScript, o páginas Web que carguen un FRAME o ventana específica del navegador.

Un HREF Tracks no necesariamente puede ser algo que deba ser visualizado, simplemente contiene información de conexión a un enlace. Los HREF Tracks pueden ser interactivos o automáticos. En el primer caso se cargan solo cuando se hace clic en el área de despliegue de la película. En el segundo, se ejecutan cuando la película es visualizada en un marco específico.

La idea de esta funcionalidad es crear presentaciones, o cualquier serie de acciones coordinadas con la visualización de la película, o cualquier cosa que se pueda lograr mediante comandos JavaScript.

Y allí es donde existe el verdadero peligro.

Apple QuickTime publicó específicamente una actualización a su reproductor en diciembre de 2006, que corrige la acción de esta funcionalidad para que no pueda ser ejecutado un código en ventanas o marcos de dominios diferentes (Cross-Site-Scripting).

Son afectadas las versiones 7.1.3 y anteriores.


Más información:

MOAB-03-01-2007: Apple Quicktime HREFTrack Cross-Zone Scripting vulnerability
http://projects.info-pull.com/moab/MOAB-03-01-2007.html

CVE-2007-0059
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0059

HREF Tracks
http://www.apple.com/quicktime/tutorials/hreftracks.html

Backdooring QuickTime Movies
http://www.gnucitizen.org/blog/backdooring-quicktime-movies/


Relacionados:

SpaceStalk.A. Se ejecuta vía películas QuickTime
http://www.vsantivirus.com/spacestalk-a.htm

Actualización crítica para Apple QuickTime (7.1.5)
http://www.vsantivirus.com/vul-quicktime-050307.htm

QSpace.A. Se propaga infectando perfiles de MySpace
http://www.vsantivirus.com/qspace-a.htm

Tendencias del malware para el 2007
http://www.vsantivirus.com/tendencias-malware-2007.htm

La criminalidad informática se traslada a la Web
http://www.vsantivirus.com/mm-criminalidad-web.htm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS