Habemus gusano Gimmiv para la vulnerabilidad de Microsoft
octubre 24, 2008 8:23 pmAyer jueves 23, Microsoft lanzó, fuera del ciclo que corresponde al segundo martes de cada mes, la actualización MS08-067 (958644) clasificada como crítica ya que una vulnerabilidad en el protocolo RPC permite la ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo.
En palabras sencillas, alguien puede ejecutar el código que desee en nuestro sistema (Windows 2000, XP, 2003, 2008, Vista) sin que nosotros nos enteremos de esa acción.
Esta actualización se lanzó debido a que ya se había publicado una PoC (Proof of concept) para la vulnerabilidad, con lo cual se sabía que no tardaría en aparecer un código dañino que la aproveche para infectar masivamente millones de usuarios (generalmente un gusano).
Esta suposición no tardó en confirmarse ya que en este momento existe al menos un gusano que se está aprovechando de la vulnerabilidad para infectar sistemas. El ejecutable detectado por ESET NOD32 como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll) en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento.
Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado.
El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser:
- Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
- Usuarios y contraseñas de Microsoft Outlook Express
- Contraseñas almacenas en Microsoft Internet Explorer
- Cookies y otros métodos de autenticación
- Archivos deseados por el atacante
La forma de programación del malware es genérica lo cual indica que no ha sido diseñado para un objetivo determinado sino para infectar masivamente a cualquier usuario, por lo que es altamente recomendable actualizar de inmediato y utilizar un sistema antivirus capaz de detectarlo, como ESET NOD32.
Cristian
Promedio: 4.25
14-12-2009 a las 4:47 pm
[...] del sistema operativo y sus aplicaciones. Casos como los provocados por la familia de gusanos Win32/Gimmiv y Win32/Conficker ponen de manifiesto la importancia de este asunto. En consecuencia es [...]
9-11-2009 a las 1:10 pm
[...] solucionada por Microsoft el pasado 23 de octubre, oportunidad en la que apareció el Gusano Gimmiv. A continuación se puede ver el aumento de tráfico en el puerto mencionado, a través informes de [...]
1-4-2009 a las 3:55 pm
[...] solucionada por Microsoft el pasado 23 de octubre, oportunidad en la que apareció el Gusano Gimmiv. A continuación se puede ver el aumento de tráfico en el puerto mencionado, a [...]
2-12-2008 a las 5:50 pm
[...] solucionada por Microsoft el pasado 23 de octubre, oportunidad en la que apareció el Gusano Gimmiv. A continuación se puede ver el aumento de tráfico en el puerto mencionado, a través informes de [...]
27-10-2008 a las 4:20 am
[...] Fuente |Habemus gusano Gimmiv para la vulnerabilidad de Microsoft [...]
27-10-2008 a las 12:21 am
[...] Actualiza tu Windows Vista/XP frente al gusano Gimmiv 26. October 2008, 22:21 Uhrjuanjosezg meneame Chido! Via el blog de ESET Latinoamérica me eh topado con el siguiente post [...]