Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Aumentan incidencias del troyano Autoproxy
 
VSantivirus No. 1221 Año 8, Lunes 10 de noviembre de 2003

 Aumentan incidencias del troyano Autoproxy
http://www.vsantivirus.com/09-11-03.htm

Por Angela Ruiz
angela@videosoft.net.uy

Según el Unified Incident Reporting and Alert Scheme (UNIRAS), organismo británico de respuesta a incidentes de computadoras (CERT), se han reportado numerosos casos de infecciones provocadas por el troyano conocido como CoreFlood o Autoproxy, que se instala en el Internet Explorer.

El troyano, se vale de la ejecución arbitraria de código reportada en el boletín de seguridad MS03-011 (Falla en Microsoft Virtual Machine), MS03-040 (Vulnerabilidad de etiquetas de objeto) y MS03-042 (Vulnerabilidad en el "Microsoft Local Troubleshooter ActiveX control").

El efecto producido, es la descarga y ejecución de archivos en la computadora infectada, incluyendo el propio troyano. La ejecución del mismo puede engañar al software usado como cortafuegos, ya que se ejecuta en la misma memoria del EXPLORER.EXE.

Una de las razones de su propagación, es que puede infectar el equipo vulnerable, con solo visitar un sitio de Internet. No requiere que se haga doble clic sobre el adjunto a un mensaje electrónico, ni que se ejecute un archivo en forma predeterminada para que ello suceda.

El troyano Autoproxy es sumamente flexible porque permite a un atacante usar el equipo comprometido para redireccionar sesiones TCP a un host remoto, y para descargar y ejecutar comandos en forma remota en la computadora infectada. Más información en "Troj/Backdoor.Autoproxy. El atacante lo usa como proxy", http://www.vsantivirus.com/back-autoproxy.htm

Este troyano es detectado por casi todos los productos antivirales actualizados, sin embargo, los administradores aconsejan examinar el registro de su equipo (con REGEDIT), en busca de entradas como estas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winsock2 driver = EXPLORER.EXE
xxxxxxx = c:\windows\system32\xxxxxxx.exe

Donde las "xxxxxxx" son siete caracteres al azar y C:\WINDOWS es la carpeta correspondiente a Windows según la versión. Por ejemplo:

ajshgsh = c:\windows\system32\ajshgsh
zpodkxs = c:\winnt\system32\zpodkxs

Para eliminar el troyano, se deberá sacar de memoria al mismo reiniciando en modo a prueba de fallos, y borrando las entradas mencionadas del registro.

Es importante tener actualizado el sistema con los parches mencionados.


Relacionados:

Troj/Backdoor.Autoproxy. El atacante lo usa como proxy
http://www.vsantivirus.com/back-autoproxy.htm

Alerta: Falla en Microsoft Virtual Machine (MS03-011)
http://www.vsantivirus.com/vulms03-011.htm

MS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htm

MS03-042 Ejecución de código (Tshoot.ocx) (826232)
http://www.vsantivirus.com/vulms03-042.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS