Tal y como preveíamos cuando anunciamos la nueva vulnerabilidad de Internet Explorer (ya solucionada), era cuestión de tiempo hasta que aparecieran sitios vulnerados y en los cuales se llama a un script dañino que explota dicha vulnerabilidad para infectar usuarios.

En este momento se puede acceder a miles de sitios vulnerados a través de cualquier buscador y en ellos se puede ver un script ofuscado. La propagación de dicha amenaza también se está realizando a través de mensajería instantánea. Por ejemplo, un usuario infectado podría enviar el siguiente mensaje

Al ingresar al sitio, también se llegar al siguiente script dañino:

Si se desofusca el código se puede ver que en realidad se trata del reciente exploit de XML de Internet Explorer, el cual funciona en las versiones 6.0 ó superior. Al ejecutarse dicho exploit en un sistema no actualizado, se descarga un troyano orientado a robar datos sensibles del usuario. ESET NOD32 detecta proactivamente el exploit como JS/Exploit.CVE-2008-4844.gen

Debido a que este exploit y cualquier otro puede encontrarse en cualquier sitio web, es fundamental actualizar el sistema, instalar un antivirus con capacidades proactivas y tomar las medidas de prevención ante la explotación de la vulnerabilidad.

Con respecto al cliente de mensajería instantánea, en Configurando ESET NOD32 Antivirus en MSN I y II encontrará información de utilidad para la prevención de esta y otras amenazas.

Cristian

• Google Code abusado por spammers
• Malware internacional alojado en sitios latinoamericanos (recomendaciones)
• Propagación de malware que simula provenir de la BBC News

Categorias: Malware
3 Comentarios »