| |
VSantivirus No. 342 - Año 5 - Viernes 15 de junio de 2001
Nombre: Troj/Goga
Tipo: Caballo de Troya en archivo RTF
Alias: Goga, W97M/Goga, DUNpws.ik
Fecha: 14/jun/01
Origen: Rusia
Tamaño archivo .RTF: 41,355 bytes
Tamaño archivo .DOT: 28,160 bytes
Hace poco menos de un mes, se anunciaba una vulnerabilidad en Microsoft Word, que permitía que un documento en formato
RTF (Rich Text Format) (1), que normalmente no puede contener
macros (2), pudiera ejecutarlos a través de un enlace a una
plantilla (3), sin avisar de ello (ver VSantivirus No. 320 - Año 5 - Jueves 24 de mayo de 2001,
"Documentos RTF pueden ejecutar macros sin advertencia").
Basándose en esta falla, se ha detectado un nuevo caballo de Troya capaz de vulnerar la seguridad de las computadoras conectadas a Internet.
El troyano "Goga", se presenta en tres partes. Un documento en formato
.RTF, una plantilla de Word .DOT (ubicada en un servidor), y una aplicación encriptada en el código del documento.
El archivo .RTF utiliza la vulnerabilidad mencionada para descargar una plantilla maliciosa
(.DOT), la cuál contiene los macros necesarios para activar el troyano.
Para funcionar, se requiere tener instalado Word 97 o una versión superior, sin los parches que corrigen la vulnerabilidad mencionada antes.
El documento .RTF es el que debe llegar de algún modo a nuestra computadora, para que cuando este documento sea abierto con Word, se active el enlace a la plantilla, ubicada en un sitio remoto (en este caso, un Web en Rusia).
La plantilla contiene las instrucciones para desencriptar la aplicación contenida en el archivo
.RTF y guardarla en un archivo de 19,456 bytes:
C:\S.EXE
También se genera un archivo de proceso por lotes de DOS
(C:\S.BAT) para completar la acción del troyano.
El archivo C:\S.EXE es un robador de contraseñas de
la información de los Accesos telefónicos a redes (DUN). El troyano puede grabar la información obtenida en este archivo:
C:\S.BMP
El código del macro de la plantilla (.DOT), ubicada en el sitio remoto, recibe y publica luego esta información (nombre de usuario, nombre de proveedor, contraseña de acceso, etc.), en un libro de visitas en su página, el cuál está abierto para el público en general. Cualquiera podría escoger y tomar de allí la información robada para su uso, con el consiguiente perjuicio económico para el dueño de la cuenta robada.
Luego que el troyano hace su trabajo, todos los archivos usados
(C:\S.*), son borrados.
Kaspersky Lab, ha reportado este troyano como activo, al haber recibido varios informes sobre su presencia.
Si la computadora atacada, posee los parches que se mencionan en el
artículo sobre esta vulnerabilidad de Word, la acción del troyano no podrá llevarse a cabo.
Algunos informes indican que en el sitio mencionado, solo fueron encontrados unos pocos registros, antes de ser cerrado. A pesar de ello, se han reportado varias incidencias.
También es necesario hacer notar que aunque esta versión no posee ninguna característica para propagarse por si sola, la posibilidad de utilizar esta brecha de seguridad, es algo que muchos escritores de virus sin dudas querrán explotar en el futuro.
Utilizando un macro grabado en cualquier plantilla de otra computadora (un sitio), un troyano puede engañar a Word para permitir la ejecución de otros macros, con código potencialmente más peligrosos.
Aunque "Goga" no es ni gusano ni virus (no se propaga por si solo, ni infecta), es una advertencia para que desconfiemos de cualquier archivo abierto mientras estamos conectados a Internet.
Además de las clásicas recomendaciones para no abrir archivos no solicitados, ni ejecutarlos sin revisarlos antes con dos o más antivirus al día, es importante el uso de un software que pueda actuar de cortafuego, y que evite la acción de un troyano o cualquier otro tipo de ataque o transferencia no autorizada desde y hacia Internet.
Sugerimos para ello, la nueva versión del ZoneAlarm (gratuito para su uso personal), que además de ser un excelente cortafuegos que protege nuestro PC de intrusos externos e internos, también impide la ejecución de cualquier adjunto potencialmente peligroso.
Zone Alarm puede ser bajado de nuestro sitio, si se dirige al área "Otro software". También encontrará allí las instrucciones para instalarlo y configurarlo fácilmente (ver
VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000,
"Zone Alarm - El botón rojo que desconecta su PC de la red").
Información complementaria:
VSantivirus No. 320 - 24/may/01
Documentos RTF pueden ejecutar macros sin advertencia
Parches para Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wd2kmsec.aspx
Parches para Microsoft Word 97:
http://office.microsoft.com/downloads/9798/wd97mcrs.aspx
Parches para otras versiones:
http://www.microsoft.com/technet/security/bulletin/MS01-028.asp
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
Glosario:
(1) RTF (Rich Text Format) - Se trata de una especificación de documentos que permite interpretar texto estructurado (con formato y gráficos), soportada por varios procesadores de texto en plataformas diferentes. Un RTF no puede contener macros.
(2) MACRO - Básicamente es un pequeño programa que automatiza cualquiera de aquellas tareas normalmente realizadas dentro de un sistema operativo o de una aplicación.
(3) PLANTILLA - Es un documento esquema, que puede servir de base para facilitar la creación de documentos similares (con la misma estructura y diseño). Una plantilla, como un documento normal , puede contener macros. La plantilla estándar de Word se llama NORMAL.DOT, y es uno de los blancos preferidos de los virus de macros, ya que todo nuevo documento se crea a partir de esa plantilla, incluyendo los macros y por ende los virus que estos pudieran contener.
Fuente: Kaspersky Labs, Network Associates
(c) Video Soft - http://www.videosoft.net.uy
|
|
