Se ha detectado un exploit activo, que permite la ejecución de código malicioso por el simple hecho de visualizar un archivo con extensión WMF en una carpeta de Windows con vista previa activa, o simplemente por visualizar una página web vía Internet. El mayor peligro es que no hay que hacer clic en ningún archivo para que se ejecute.
Buenos Aires, 28 de Diciembre de 2005 – Eset, proveedor global de protección antivirus de última generación, anunció hoy la aparición de un nuevo troyano capaz de ejecutarse automáticamente al visualizar un cierto tipo de archivo bajo Windows, y que comenzó a ser enviado masivamente en un mensaje de correo electrónico durante el día de hoy.
El exploit se vale de una vulnerabilidad en el proceso de archivos de imágenes WMF (Windows Metafile), que puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo afectado, puede ser vulnerable a un ataque.
De este modo, no solo los usuarios de Internet Explorer están involucrados, sino también quienes utilicen otros navegadores, tales como Firefox.
NOD32 detecta por medio de su heurística, el ejecutable malicioso que intenta abrirse, sin necesidad de ser actualizado. Para el exploit en si, se ha lanzado la base de firmas 1.1342 que ya lo neutraliza directamente.
Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF.
Quienes usen un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior, serán avisados del intento de conexión de un archivo a un determinado sitio Web, que en nuestras primeras pruebas tenía el nombre de A.EXE (ello puede ser modificado por el autor en futuras versiones, y en este caso válido para el primer exploit detectado).
En este caso, el archivo A.EXE, de 6,641 bytes, puede copiarse en el escritorio de Windows y en la carpeta de archivos temporales de Windows, con los atributos de oculto.
En el caso de recibir esta alerta, se debe negar la conexión. Luego, desde el Administrador de tareas de Windows (CTRL+ALT+SUPR), buscar y eliminar el proceso llamado «a.exe».
También se deben borrar los siguientes archivos:
c:\windows\uniq
c:\windows\kl.exe
Quienes utilizan NOD32, el antivirus impedirá la ejecución de dicho archivo, protegiéndolos de la posible infección. NOD32 lo detecta como variante del Win32/TrojanDownloader.Small.AOD
El exploit propiamente dicho, es detectado por NOD32 como Win32/TrojanDownloader.Wmfex
Es importante hacer notar que las pruebas en nuestro laboratorio, se realizaron con un Windows XP SP2 con todas las actualizaciones al día, incluido el parche MS05-053 que en teoría solucionaba el problema de ejecución de código mediante imágenes WMF/EMF (896424), y que fuera publicado por Microsoft en noviembre pasado. Más tarde se comprobó que el exploit se basa en una vulnerabilidad totalmente nueva.
La vulnerabilidad afecta a todas las computadoras que ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1 incluido).
Por otra parte, no está de más aclarar que esta alerta no es una broma por el día de los inocentes (28 de diciembre), sino que se trata de algo totalmente real.
Reiteramos, mucha precaución a la hora de navegar, no hacerlo por sitios no conocidos, y mantener al día los antivirus. Aún ahora no todos detectan el exploit o sus variantes.
Descripciones sobre los códigos maliciosos aquí listados pueden encontrarse en EnciclopediaVirus.com.© Eset, 2005
Acerca de Eset
Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, Eset es una compañía global de soluciones de software de seguridad que provee protección de última generación contra virus informáticos.
El premiado producto antivirus de Eset, NOD32, asegura una máxima rendimiento de su red, detección mediante heurística avanzada, y soporte mundial gratuito.
NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos.
NOD32 mantiene más premios Virus Bulletin 100% que ningún otro producto antivirus disponible, detectando consistentemente todos los virus activos (“in-the-wild”) sin falsos positivos. Además, es uno de los pocos antivirus certificado en la detección de Spyware con el premio Checkmark.
El trabajo de Eset con grandes corporaciones como Canon, Dell y Microsoft le ha permitido entrar en el Fast 50 de Deloitte Technology por tres años consecutivos.
Eset es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga (República Checa) y Bratislava (Eslovaquia).
Para más información, visite www.nod32-la.com