Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Primer troyano que se ejecuta al ver archivos BMP
 
VSantivirus No. 1409 Año 8, sábado 15 de mayo de 2004

Primer troyano que se ejecuta al ver archivos BMP
http://www.vsantivirus.com/15-05-04.htm

Por Angela Ruiz
angela@videosoft.net.uy


Kaspersky Labs informó la aparición de un nuevo troyano que se vale de archivos de imágenes BMP para infectar a los usuarios.

Según Kaspersky, el troyano habría sido enviado a una gran cantidad de usuarios, por medio del envío masivo de un mensaje no solicitado (spam), conteniendo una aparentemente inofensiva imagen en formato BMP.

El formato de mapa de bits (BMP), es un formato estándar para archivos gráficos en los equipos basados en Windows.

El nuevo troyano, llamado Agent por Kaspersky, puede infectar al usuario cuando éste pretende visualizar un gráfico en formato BMP.

Agent se vale de una vulnerabilidad en el Internet Explorer 5.0 y 5.5, la cual permite que un código malicioso sea activado al intentar visualizar un archivo BMP. El exploit que permite esto, fue publicado en Internet, apenas dos días después de que partes del código fuente de Windows 2000 Service Pack 1, fueron hechas públicas ilegalmente en febrero de 2004 (ver Referencias).

La vulnerabilidad engaña al Internet Explorer sobre las direcciones donde almacena las imágenes en mapas de bits. Con un archivo bitmap (BMP) especialmente modificado, se puede causar un desbordamiento de búfer y como ahora lo demuestra este troyano, se puede hasta ejecutar código en forma arbitraria en el sistema vulnerable.

El error se produce solamente en Windows 2000.

El troyano Agent, fue enviado utilizando tecnología spammer en un correo electrónico infectado que solamente contiene un BMP con un nombre aleatorio. El archivo probablemente fue creado en Rusia o en la unión de los estados independientes (CIS), en la antigua Unión Soviética, ya que solo funciona con la versión rusa de Windows 2000. No lo hace en otros idiomas ni en otras versiones de Windows (9x, Me, XP, 2003). Sin embargo, en estos sistemas puede provocar que el programa de correo electrónico se cierre al intentar visualizar la imagen.

Cuando un usuario abre el archivo BMP, el troyano se conecta de inmediato a un servidor remoto localizado en Libia, y descarga y ejecuta un segundo troyano llamado "Throd".

"Throd" es un típico parásito del tipo spyware, que se copia en el registro del sistema de Windows y luego queda a la espera de las instrucciones de un usuario remoto. Estas instrucciones implican la ejecución remota de varios comandos y programas, la copia de datos, y la recolección de direcciones de la libreta de direcciones del Outlook. También puede convertir al equipo infectado en un servidor proxy, de modo de usarlo como plataforma para lanzar toda clase de ataques.

"Throd obviamente está escrito por spammers," comenta Eugene Kaspersky, Director de Investigación Anti-Virus de Kaspersky Labs, "el troyano recolecta direcciones de correo electrónico y crea una red de máquinas zombis para ataques masivos de spammer. Una vez más, vemos una confirmación de que los spammers y escritores de virus están trabajando en común acuerdo."

No existe parche para la vulnerabilidad mencionada. "Esta vulnerabilidad en particular, ha sido identificada y reparada en el IE 6.0 SP1, en agosto de 2002. Microsoft continúa recomendando a sus clientes que mantengan al día su software con los últimos parches y actualizaciones. Los usuarios de Windows XP SP1 o Windows Server 2003 que han instalado todas las últimas actualizaciones, no son impactados", dijo un vocero de Microsoft cuando el exploit fue hecho público.

Las recomendaciones son mantener actualizado su software antivirus, ya que cómo afirma el propio Kaspersky, "es muy probable que muy pronto aparezca malware atacando otras versiones de Windows".


[Artículo basado en nota de Prensa de Kaspersky-Labs México]


Referencias:

Troj/Down.BMP.Agent.A. Se ejecuta al ver archivos BMP
http://www.vsantivirus.com/troj-down-bmp-agent-a.htm

Back/Throd.A. Convierte la PC en máquina zombi
http://www.vsantivirus.com/back-throd-a.htm

Microsoft investiga fuga del código fuente de Windows
http://www.vsantivirus.com/15-02-04.htm

Castigo severo de Microsoft a los que posean su código
http://www.vsantivirus.com/22-02-04.htm

Exploit basado en fuga del código fuente de Windows
http://www.vsantivirus.com/ev-17-02-04.htm

Fuga de código: se alejan los temores de desastre
http://www.vsantivirus.com/16-02-04.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS