Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Troyano que explota vulnerabilidad MS06-040
 
VSantivirus No. 2216 Año 10, lunes 14 de agosto de 2006

Troyano que explota vulnerabilidad MS06-040
http://www.vsantivirus.com/13-08-06.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Tal como se estaba advirtiendo (ver VSAntivirus 2214, "Aumenta la alerta por posible gusano de Windows", http://www.vsantivirus.com/11-08-06.htm), en las últimas horas del sábado (12/08/06) y primeras del domingo, se empezó a reportar la propagación de un troyano que saca ventaja de la vulnerabilidad que Microsoft describe en su boletín MS06-040.

Según el servicio VirusTotal de Hispasec, dos variantes fueron conocidas, detectándose las primeras muestras como enviadas a las 22:23 GMT (23:23 CET, Central European Time), y a las 23:16 GMT (00:16 CET).

En ese momento, solo 9 antivirus las detectaron, todos ellos de forma proactiva (o sea, sin agregarlo a sus bases de firmas), tal como lo indica el siguiente resumen:

Date: 08/12/2006 23:23:51 (CET)
Original file name: .exe
Already detected as:
- HEUR/Crypted.Layered (AntiVir)
- Possibly a new variant of W32/Threat-HLLIM-based!Maximus (Authentium)
- Generic.Malware.IXdld.77C2258A (BitDefender)
- (Suspicious) - DNAScan (CAT-QuickHeal)
- Possibly a new variant of W32/Threat-HLLIM-based!Maximus (F-Prot)
- W32/Threat-HLLIM-based!Maximus (F-Prot4)
- a variant of Win32/IRCBot.OO (NOD32v2)
- W32/Suspicious_M.gen (Norman)
- Suspicious file (Panda)

Date: 08/13/2006 00:16:00 (CET)
Original file name: 9928a1e6601cf00d0b7826d13fb556f0.
Already detected as:
- HEUR/Crypted.Layered (AntiVir)
- Possibly a new variant of W32/Threat-HLLIM-based!Maximus (Authentium)
- Generic.Malware.IXdld.658BDD6B (BitDefender)
- (Suspicious) - DNAScan (CAT-QuickHeal)
- Possibly a new variant of W32/Threat-HLLIM-based!Maximus (F-Prot)
- W32/Threat-HLLIM-based!Maximus (F-Prot4)
- a variant of Win32/IRCBot.OO (NOD32v2)
- W32/Suspicious_M.gen (Norman)
- Suspicious file (Panda)

El troyano que ESET NOD32 detectó sin necesidad de actualización, como una variante de Win32/IRCBot.OO, pertenece a la familia de los IRC/Bot, o sea troyanos que reciben instrucciones a través de canales de IRC para realizar tareas automatizadas en los equipos infectados. Generalmente, esto sirve para crear verdaderes redes de máquinas zombis, también conocidas como botnets, capaces de llevar a cabo acciones maliciosas a gran escala.

No es nuevo que este troyano se aproveche de nuevas vulnerabilidades para propagarse, intentando sacar partido de los tiempos de reacción de los usuarios (o sea, antes que los parches, que ya fueron liberados por Microsoft, sean instalados). Otras variantes de este IRCBot lo han hecho así antes.

Esta versión, se copia en el directorio del sistema con el nombre de WGAREG.EXE (aunque puede llegar con un nombre en blanco y solo la extensión .EXE), y luego crea un servicio en Windows con el nombre de "Windows Genuine Advantage Registration Service", para simular ser parte del sistema de autenticación de "Windows genuino" de Microsoft. La descripción de este falso servicio, advierte -en inglés-, que detenerlo o inhabilitarlo, puede dejar inestable el sistema, además de afirmar que su función es asegurarse que la versión de Windows actual sea genuina y esté registrada.

La segunda variante crea un servicio similar, pero con el siguiente nombre: "Windows Genuine Advantage Validation Monitor", y utiliza el archivo WGAVM.EXE.

Lo que caracteriza a esta versión, como dijimos antes, es que puede aprovechar la vulnerabilidad que Microsoft corrigió en su parche MS06-040, la cuál se produce por un desbordamiento de búfer en el servicio servidor de Windows. Sin embargo, el exploit actual, parece no funcionar en Windows XP SP2 ni en Windows 2003 SP1. Los demás sistemas que el parche cubre, en cambio si son vulnerables (incluyendo Windows XP y XP SP1).

Una vez que el troyano está en el equipo infectado, el mismo puede buscar equipos vulnerables a través del puerto TCP 445, e infectarlos.

Pero además de ello, el troyano tiene la capacidad de enviar mensajes a través del AOL Messenger, si el mismo está instalado en el equipo infectado. De esta manera, podría crear mensajes falsos, para incitar a otros usuarios a descargar el BOT de otros enlaces, y de esa forma favorecer su propagación, eludiendo otras restricciones como las de los cortafuegos (se trata de la descarga de un archivo común y corriente de Internet).

En este caso específico, comprobamos que la protección de ESET NOD32 impidió la descarga de dicho archivo, protegiendo al usuario de la infección también por esa vía. Sin embargo, es bueno recordar lo peligroso que puede ser el uso de la mensajería instantánea, sobre todo en ambientes corporativos. En este caso, el parche de Microsoft protege al usuario de la infección vía puerto TCP 445 (o el firewall que proteja la red interna del exterior), pero no lo protege de la descarga de un archivo de Internet.

El troyano intenta conectarse a los siguientes servidores (ambos en China), por un puerto no estándar:

bniu .househot .com:18067
ypgw .wallloan .com:18067

También es notorio un aumento de tráfico de salida por el puerto TCP 445, cuando el troyano busca otros equipos vulnerables para infectarlos.

Es importante tener en cuenta, que si un equipo es infectado, al tratarse básicamente de un programa capaz de recibir instrucciones remotas y realizar acciones de acuerdo a ello, no hay una solución que nos asegure completamente que los equipos han sido limpiados. Cualquier otra clase de software malicioso podría ser descargado mientras tanto, o se podrían haber hecho modificaciones críticas que podrían haber dejado el camino libre a otras amenazas, de modo que eliminar el troyano no resuelve totalmente el problema.

En casos como estos, no quedan muchas más opciones que "derribar y reconstruir", sobre todo cuando se trata de redes corporativas, ya que nunca podríamos estar seguros de que clase de "regalos" pueden haber quedado en el sistema.

Además, la eliminación manual no resulta nada trivial, debido a las modificaciones que puede realizar el troyano.

Es por todas esas razones, que debemos tener siempre en cuenta, que la mejor protección es la prevención.

Según el servicio ThreatSense.net de ESET NOD32, esta variante se ubica al momento de este artículo (cuando aún no han pasado 24 horas de la primera detección), en el puesto número 33 de los códigos maliciosos más detectados en las últimas 24 horas.

Respuestas rápidas: Alerta Virus (ESET NOD32)

Nombre del Código Malicioso: variante de IRCBot.OO
Fecha de detección: 12 de agosto de 2006

1. ¿Cuál es el método de infección?

El troyano puede explotar una vulnerabilidad reciente en Windows XP, 2000 y 2003 para copiarse directamente a un equipo; también puede recibirse a través del mensajero instantáneo AOL IM.

2. ¿Cuál es el número estimado de equipos infectados?

ThreatSense.net ha detectado alrededor de 2000 equipos infectados en las últimas 24 horas, lo cual es una cantidad importante para un troyano de este tipo.

3. ¿En qué posición del ranking se encuentra la amenaza?

Actualmente está en la posición 33 y subiendo 9 posiciones en las últimas dos horas (20:00 GMT).

4. ¿Cuáles son los efectos dañinos del código malicioso?

El troyano puede ser usado para obtener información del equipo infectado, además de realizar ataques de denegación de servicios.

5. ¿Cómo fue el impacto del malware en el rendimiento del equipo?

De acuerdo a los métodos que utiliza para mantenerse en memoria, puede notarse un mayor uso de memoria. También puede ser notorio el aumento de tráfico por el puerto TCP 445.

6. ¿Hay otras variantes del código malicioso?

Si, la familia de troyanos IRCBot tiene una gran cantidad de ejemplos, que son utilizados para crear botnets (redes de máquinas zombis).

7. ¿Cómo se puede remover la amenaza?

La amenaza puede removerse automáticamente con NOD32, o eliminando el archivo WGAREG.EXE o WGAVM.EXE. Nota VSA: Tenga en cuenta que debido a las características del troyano, una limpieza completa del sistema puede ser requerida.

8. ¿Qué comportamiento lo llevó a ESET a detectar y bloquear la amenaza?

El troyano fue detectado automáticamente a través de nuestra heurística avanzada, y por ello comenzamos a recibir reportes a través de nuestro sistema de alerta temprana ThreatSense.net.

9. ¿Cómo cuadra este código malicioso en la tendencia actual de los malware?

Este troyano es otro de los varios miles de bots que están actualmente en circulación, los cuales son uno de los tipos de códigos maliciosos más detectados en la actualidad.


Relacionados:

Aumenta la alerta por posible gusano de Windows
http://www.vsantivirus.com/11-08-06.htm

MS06-040 Vulnerabilidad en servicio Servidor (921883)
http://www.vsantivirus.com/vulms06-040.htm

Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm

Troyano que intenta crear una red de máquinas zombis
http://www.vsantivirus.com/25-10-05.htm


(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS