Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Crean falso sitio de Microsoft para difundir un troyano
 
VSantivirus No. 1087 Año 7, Domingo 29 de junio de 2003

Crean falso sitio de Microsoft para difundir un troyano
http://www.vsantivirus.com/29-06-03.htm

Por Angela Ruiz
angela@videosoft.net.uy



A mediados de esta semana, se ha reportado la circulación de un correo electrónico simulando ser una supuesta actualización de Windows.

El mensaje, que está en formato HTML, incita al usuario a descargar un parche crítico de Internet, y para ello se brinda un enlace a lo que parece ser el propio sitio de Microsoft: http:/ /www.[xxx]windows-update·com. (Aunque el sitio había sido bloqueado por el proveedor ante el aumento excesivo de tráfico, en este informe se ha falseado la dirección con las [xxx] para evitar que un usuario accidentalmente haga doble clic sobre ese enlace. La página contiene un script que descarga y ejecuta un troyano).

El engaño está en que la dirección "windows-update·com" no pertenece a Microsoft (la verdadera es "windowsupdate·com".

La falsa, creada el 22 de junio de 2003, está a nombre de Ewa Pasternak Ivarsson, de Estocolmo (Suecia), según los registros.

La alarma fue dada por la empresa de seguridad informática dinamarquesa, Kruse Security, el 25 de junio.

El mensaje (originalmente en inglés) presenta estas características:

Dear Windows User! 
New Windows 9x/2000/NT/XP critical patch has been
released. Due to security problems, your system
needs to be updated as earlier as possible. 

You can download an update patch on Windows Update
site: http:/ /[xxx]www·windows-update·com 

Best regards, Windows Update Group

Cuando el usuario pincha en ese enlace, accede a un sitio, que como dijimos, es falso.

La página contiene en su código una etiqueta iFrame, que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no.

Valiéndose de una vulnerabilidad del Internet Explorer, se obliga a que el navegador intente abrir 3354 veces la supuesta página dentro del iFrame. Esto provoca la descarga y ejecución (después de todos esos intentos), del archivo "update0932.exe", superando las restricciones de seguridad que Windows impone a cualquier código cuando se usa dentro de un iFrame.

Normalmente, un iFrame es seguro, y es imposible la ejecución de código de otro dominio en nuestra computadora. Pero la falla permite que después de determinada cantidad de ventanas abiertas con el mismo enlace, se pueda ejecutar un código remoto.

Esta falla ha sido anteriormente comentada en VSAntivirus, y además ya existe un parche de Microsoft que resuelve el problema (ver las referencias al final del artículo).

El archivo "update0932.exe" está comprimido con la utilidad UPX, y contiene un troyano del tipo Trojan.Downloader, que a su vez descarga el archivo "svghost.exe" desde la dirección IP 38.115.134.3 (actualmente no responde).

Este último es un troyano de 15.904 bytes, también comprimido con UPX, detectado como una variante del Troj/SdBot, un gusano de redes multi-componentes, que se propaga a través de recursos compartidos y que puede ser controlado vía IRC.

Este troyano libera y ejecuta otro archivo para controlar la máquina de la víctima, "wsock32p.exe".

Para evitar la ejecución de código a través de las etiquetas iFrame, se recomienda actualizar el Internet Explorer a la brevedad, con el parche indicado en el siguiente enlace: http://www.vsantivirus.com/vulms03-020.htm

Los administradores, pueden bloquear la dirección IP mencionada.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS