Troyano liberado por exploit de "Zero day" de Word

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Troyano liberado por exploit de "Zero day" de Word

Compartir

El Internet Storm Center ha reportado la aparición de un exploit que se aprovecha de una supuestamente recién descubierta vulnerabilidad en Microsoft Word (Word XP y Word 2003). El exploit ha sido enviado en documentos .DOC adjuntos a correos electrónicos que se han propagado en forma de spam (actualmente, el documento puede tener un nombre como NO.060517.DOC.DOC o PLAN.DOC, entre otros posibles).

Cuando el exploit se ejecuta (al abrirse el documento modificado maliciosamente), se libera un troyano tipo BOT en el sistema. En concreto, los siguientes archivos son creados:
\TEMP\20060424.bak
\TEMP\csrse.exe
c:\windows\system32\winguis.dll

CSRSE.EXE se autoelimina luego de ejecutarse. La carpeta "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

Luego de liberar estos archivos, se sobrescribe el documento de Word con contenido no infectado. Como resultado visible, Word deja de responder, mientras se ofrece al usuario la opción de reabrir el archivo. Si esta acción es aceptada, el nuevo documento, que no contiene ningún tipo de infección, es abierto sin ninguna otra clase de incidente.

Mientras tanto, el troyano intenta conectarse a un determinado sitio web vía HTTP (http: // localhosts .3322 .org). Esta acción es reiterada cada 60 segundos aproximadamente.

El código liberado también aplica técnicas de rootkit para ocultar los archivos asociados con el troyano. En concreto, esto hace que cualquier archivo que se llame WINGUIS.DLL no pueda ser visto con el Explorador de Windows.

La siguiente clave del registro es modificada para que el mencionado DLL sea invocado por Windows:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "c:\windows\system32\winguis.dll"

El BOT es capaz de capturar información del sistema infectado (versión del sistema operativo, actualizaciones instaladas, antivirus y cortafuegos instalados, configuración del Internet Explorer, contenido de carpetas como "Mis documentos", "Inicio", etc.)

Alternativamente, el troyano abre la posibilidad de que un usuario remoto pueda ejecutar comandos, descargar otros archivos, capturar información del teclado, lanzar y detener servicios, matar procesos, leer, escribir o borrar archivos y carpetas, reiniciar Windows, tomar capturas de pantallas, etc.

También son creados los siguientes archivos (al comienzo, de cero byte cada uno):

c:\windows\system32\drivers\DetPort.sys
c:\windows\system32\drivers\IsPubDRV.sys
c:\windows\system32\drivers\RVdPort.sys

Las siguientes claves también pueden ser creadas:

HKLM\System\CurrentControlSet\Services\gui30svr

HKLM\System\ControlSet001\Control\Class
{8ECC055D-047F-11D1-A537-0000F8753ED1}

HKLM\System\ControlSet001\Enum\Root\legacy_gui30sv r\0000
driver = "{8ECC055D-047F-11D1-A537-0000F8753ED1}\0024"

Microsoft reconoció la existencia de la vulnerabilidad e informó también sobre este exploit. Además de recomendar a los usuarios no abrir adjuntos no solicitados (al momento actual, única vía de entrada para el exploit), promete que un parche para este problema sería publicado en la próxima actualización programada (junio 13 de 2006).

NOTA: El término "Zero day" (o "0day"), se aplica en este caso a un exploit hecho público para una vulnerabilidad de la que aún no existe un parche, generalmente el mismo día de haber sido descubierta.


Relacionados:

Targeted attack: experience from the trenches (NEW)
http://isc.sans.org/diary.php?storyid=1345

Targeted attack: Word exploit - Update (NEW)
http://isc.sans.org/diary.php?storyid=1346

Fuente: VSANTIVIRUS
Compartir
  #1  
Creado: 20-May-2006, a las 17:21 Vistas: 856
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
word, zero day, exploits


Temas Similares
» Como eliminar Virus que me bloquea "Ejecutar" y "Administrador de Tareas" 0
» Exploit.1Table.NAJ. Troyano en documento Word 1
» Botvoice.A. Destructivo troyano que "habla" 0
» Mensaje de "virus terrorista", propaga un troyano 0
» Exploit.1Table.NAH. Troyano en documento Word 0
» Ginwui.B. Troyano liberado por exploit de Word 0
» AI acusa a la Policía de crear "alarma social" y recuerdan que intercambiar archivos "no es un delito" 0
» Grave vulnerabilidad con exploit "cero día" en Winamp 0
» Mops.A. Instala "toolbar" en IE y descarga troyano 0
» ObjID.C. Troyano que usa "HTML Help ActiveX control" 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 18:41.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4