Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Alerta: Troyano que se ejecuta mediante archivos WMF
 
VSantivirus No. 1999 Año 9, jueves 29 de diciembre de 2005

Alerta: Troyano que se ejecuta mediante archivos WMF
http://www.vsantivirus.com/28-12-05.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy


Se ha detectado un exploit activo, que permite la ejecución de código malicioso por el simple hecho de visualizar un archivo con extensión WMF en una carpeta de Windows con vista previa activa, o simplemente por visualizar una página web vía Internet. El mayor peligro es que no hay que hacer clic en ningún archivo para que se ejecute.

El exploit se vale de una vulnerabilidad en el proceso de archivos de imágenes WMF (Windows Metafile), que puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo utilizando el componente de Windows afectado, puede ser vulnerable a un ataque.

De este modo, no solo los usuarios de Internet Explorer están involucrados, sino también quienes utilicen otros navegadores, tales como Firefox.

Con el primer exploit reportado, NOD32 detectó por medio de su heurística, el ejecutable malicioso que intentaba abrirse, sin necesidad de ser actualizado (debemos hacer notar que se han divulgado otras variantes luego de ello). Para el exploit en si, se ha lanzado la base de firmas 1.1342 que ya lo neutraliza.

Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.

Quienes usen un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior (por ejemplo ZoneAlarm), serán avisados del intento de conexión de un archivo a un determinado sitio Web, que en nuestras primeras pruebas tenía el nombre de A.EXE (ello puede ser modificado por el autor en futuras versiones, y en este caso, esto es válido para el primer exploit detectado. Ver "Información de último momento" al final de este artículo).

El exploit creaba y ejecutaba un archivo llamado A.EXE, de 6,641 bytes. El mismo puede copiarse y ejecutarse en el escritorio de Windows y en la carpeta de archivos temporales de Windows, con los atributos de oculto.

En el caso de recibirse esta alerta, se debe negar la conexión. Luego, desde el Administrador de tareas de Windows (CTRL+ALT+SUPR), basta con buscar y eliminar el proceso llamado "a.exe".

También se deben borrar los siguientes archivos:

c:\windows\uniq
c:\windows\kl.exe

Para quienes utilicen NOD32, el antivirus impedirá la ejecución de dicho archivo, protegiéndolos de la posible infección. NOD32 lo detecta como una variante del Win32/TrojanDownloader.Small.AOD

El exploit propiamente dicho, es detectado por NOD32 como Win32/TrojanDownloader.Wmfex (ver "TrojanDownloader.Wmfex. Detección para exploit WMF,
http://www.vsantivirus.com/trojandownloader-wmfex.htm)

Es importante hacer notar que las pruebas en nuestro laboratorio, se realizaron con un Windows XP SP2 con todas las actualizaciones al día, incluido el parche MS05-053 que solucionaba un problema de ejecución de código mediante imágenes WMF/EMF (896424), y que fuera publicado por Microsoft en noviembre pasado. Más tarde se comprobó que el exploit está basado en una vulnerabilidad totalmente nueva (ver "Información de último momento" al final de este artículo).

Dicha vulnerabilidad afecta a todas las computadoras que ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1 incluido). Otras versiones de Windows que utilicen el visor de imágenes y fax de Windows también son afectadas (ver "Vulnerabilidad en visor de imágenes y fax de Windows", http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm)

Debido a consultas y comentario recibidos, no está de más aclarar que esta alerta no es una broma por el día de los inocentes (28 de diciembre), sino que se trata de algo totalmente real.

* Información de último momento [29/12/05 06:15 -0200]

1. No se trata de la vulnerabilidad corregida en el parche MS05-053 como se dijo en este mismo artículo anteriormente, sino de una nueva vulnerabilidad descubierta el mismo día de ser explotada (28 de diciembre). Un auténtico "zero-day".

2. La vulnerabilidad no depende del navegador, se puede infectar cualquier persona usando otros navegadores, como por ejemplo Firefox. Solo basta que se descargue una imagen que tenga el exploit, y esté utilizando una de las versiones vulnerables de Windows.

3. Existen al menos tres variaciones del exploit (28/12/05 20:58 -0200), que están siendo utilizadas para la descarga de otros troyanos. Los más típicos son los que muestran un falso anuncio de alerta de infección para que se descargue un supuesto software anti-spyware o anti-troyano. Esto no es nuevo y no debemos aceptar nunca seguir un enlace de este tipo si nos aparece una ventana con esta clase de alerta mientras navegamos, y la misma no es la de nuestro antivirus. Lo nuevo aquí es que se utiliza el nuevo exploit para aprovecharse de esto y ejecutar la falsa alerta de forma automática.

4. Aún cuando no se abra una imagen haciendo doble clic en ella, ni se utilice el Explorador de Windows para visualizar una carpeta que tenga una imagen con el exploit, podemos infectarnos si tenemos instaladas utilidades como por ejemplo Google Desktop, ya que las mismas crean un índice de imágenes para hacer búsquedas más rápidas, y ello es suficiente para que se ejecute el exploit. Ello está relacionado con el visor usado por Windows para ver las pre visualizaciones de imágenes, faxes, etc. Esto se explica en el siguiente artículo:

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

5. En ese mismo artículo, se dan algunas soluciones alternativas de protección, como la de desregistrar el componente afectado (SHIMGVW.DLL), al menos mientras Microsoft no publique un parche actualizado.

Reiteramos, mucha precaución a la hora de navegar, no hacerlo por sitios no conocidos, y mantener al día los antivirus. Aún ahora no todos detectan el exploit o sus variantes.


* Resultados de las primeras muestras examinadas por el servicio de Hispasec, VirusTotal:

Este es el resultado de analizar el archivo "exploit.wmf" que VirusTotal ha procesado el DIA 28/12/2005 a las 18:33:20 (CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig 
Avast 4.6.695.0 28.12.2005 Win32:Exdown 
AVG 718 27.12.2005 no ha encontrado virus 
Avira 6.33.0.70 28.12.2005 TR/Dldr.WMF.Harnig 
BitDefender 7.2 28.12.2005 Exploit.Win32.WMF-PFV 
CAT-QuickHeal 8.00 28.12.2005 no ha encontrado virus 
ClamAV devel-20051108 26.12.2005 no ha encontrado virus 
DrWeb 4.33 28.12.2005 no ha encontrado virus 
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus 
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus 
Ewido 3.5 28.12.2005 no ha encontrado virus 
Fortinet 2.54.0.0 28.12.2005 W32/WMF-exploit 
F-Prot 3.16c 28.12.2005 no ha encontrado virus 
Ikarus 0.2.59.0 28.12.2005 no ha encontrado virus 
Kaspersky 4.0.2.24 28.12.2005 Trojan-Downloader.Win32.Agent.acd 
McAfee 4661 28.12.2005 Exploit-WMF 
NOD32v2 1.1342 28.12.2005 Win32/TrojanDownloader.Wmfex
Norman 5.70.10 28.12.2005 no ha encontrado virus 
Panda 8.02.00 28.12.2005 no ha encontrado virus 
Sophos 4.01.0 28.12.2005 no ha encontrado virus 
Symantec 8.0 28.12.2005 Bloodhound.Exploit.56 
TheHacker 5.9.1.063 28.12.2005 Exploit/WMF 
UNA 1.83 28.12.2005 no ha encontrado virus 
VBA32 3.10.5 28.12.2005 no ha encontrado virus 



Este es el resultado de analizar el archivo "a.exe" que VirusTotal ha procesado el DIA 28/12/2005 a las 18:36:27 (CET).

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C 
Avast 4.6.695.0 28.12.2005 Win32:Harnig-J 
AVG 718 27.12.2005 no ha encontrado virus 
Avira 6.33.0.70 28.12.2005 TR/Dldr.Harn.ax.12.C 
BitDefender 7.2 28.12.2005 BehavesLike:Trojan.Downloader 
CAT-QuickHeal 8.00 28.12.2005 (Suspicious) - DNAScan 
ClamAV devel-20051108 26.12.2005 no ha encontrado virus 
DrWeb 4.33 28.12.2005 Trojan.DownLoader.6084 
eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus 
eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus 
Ewido 3.5 28.12.2005 no ha encontrado virus 
Fortinet 2.54.0.0 28.12.2005 suspicious 
F-Prot 3.16c 28.12.2005 no ha encontrado virus 
Ikarus 0.2.59.0 28.12.2005 Backdoor.Win32.PcClient.GV 
Kaspersky 4.0.2.24 28.12.2005 no ha encontrado virus 
McAfee 4661 28.12.2005 StartPage-IC 
NOD32v2 1.1342 28.12.2005 variant of Win32/TrojanDownloader.Small.AOD
Norman 5.70.10 28.12.2005 W32/Downloader
Panda 8.02.00 28.12.2005 Trj/Downloader.GQA 
Sophos 4.01.0 28.12.2005 no ha encontrado virus 
Symantec 8.0 28.12.2005 no ha encontrado virus 
TheHacker 5.9.1.063 28.12.2005 Trojan/Downloader-IC 
UNA 1.83 28.12.2005 no ha encontrado virus 
VBA32 3.10.5 28.12.2005 suspected of Trojan-Downloader.Agent.35



(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.


Más información:

Todo lo que hay que saber sobre el exploit WMF
http://www.vsantivirus.com/faq-wmf-exploit.htm

MS06-001 Vulnerabilidad en motor de gráficos (912919)
http://www.vsantivirus.com/vulms06-001.htm

Exploit.WMF. Detección para exploit archivos WMF
http://www.vsantivirus.com/exploit-wmf.htm

Microsoft publica anticipadamente su parche para WMF
http://www.vsantivirus.com/ev-vul-wmf.htm

NOD32 crea parche dinámico para vulnerabilidad WMF
http://www.vsantivirus.com/wmfpatch.htm

Vulnerabilidad en visor de imágenes y fax de Windows
http://www.vsantivirus.com/vul-windows-shimgvw-281205.htm

TrojanDownloader.Wmfex. Detección para exploit WMF
http://www.vsantivirus.com/trojandownloader-wmfex.htm

La vulnerabilidad WMF y la solución basada en DEP
http://www.vsantivirus.com/30-12-05.htm

Parche NO oficial para la vulnerabilidad WMF
http://www.vsantivirus.com/vul-wmf-parche.htm

El problema WMF y la ética de una computación confiable
http://www.vsantivirus.com/01-01-06.htm

Alerta ante nuevo exploit para la vulnerabilidad WMF
http://www.vsantivirus.com/31-12-05.htm




[Última modificación: 28/08/06 23:00 -0300]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS