·
La semana que hoy finaliza ha estado marcada por los boletines de seguridad que Microsoft ofrece los segundos martes de cada mes.
En ellos se ofrecen soluciones para diversos errores y vulnerabilidades de sus sistemas y aplicaciones. Además, en este informe semanal nos centraremos en dos códigos maliciosos: Nedro.B y Haxdoor.NJ.

Los boletins de seguridad de Microsoft presentados son diez, y presentan niveles "críticos" (seis de los anunciados), "importante" (solo uno), "moderado" (dos) y "bajo" (uno):

* MS06-056: Corrige una vulnerabilidad (cross site scripting) en servidores con .Net Framework 2.0, y recibe una calificación de "moderado"

* MS06-057: Actualiza Windows Shell para evitar ejecución remota de código. Afecta a Windows 2000, XP y Server 2003. Su calificación es de "crítico".

* MS06-058: Calificado como "crítico", corrige cuatro vulnerabilidades distintas en PowerPoint, alcanzando el nivel de "crítico".

* MS06-059: También "crítico", soluciona cuatro vulnerabilidades en Microsoft Excel.

* MS06-060: Actualización para Microsoft Excel, nivel "Crítico".

* MS06-061: Contiene la actualización para dos vulnerabilidades de Microsoft XLM Core Services. Microsoft considera este boletín "Crítico". Se aplica a Windows 2000, XP y Server 2003.

* MS06-062: Actualización de vulnerabilidades en Microsoft Office. Afecta a Microsoft Office, Project y Visio. Considerado por Microsoft como "crítico".

* MS06-063: Se refiere a dos vulnerabilidades del servicio Servidor de Windows. Su calificación es "importante", y afecta a Windows 2000, Server 2003 y XP.

* MS06-064: Destinado a solucionar tres vulnerabilidades de denegación de servicio en los sistemas IPv6 de TCP/IP. Microsoft considera este boletín con importancia "baja", y debe aplicarse a sistemas Windows XP y Server 2003.

* MS06-065: Afecta a Windows XP y Server 2002, concretamente a "Windows Object Packager". Su importancia es "moderada".

El informe semanal continúa con el gusano W32/Nedro.B.worm, preparado para operar en los sistemas operativos Windows. Para propagarse, emplea IRC y el sistema de mensajería instantánea de Yahoo!.

Nedro.B lleva a cabo muchas acciones para pasar desapercibido al usuario y dificultar su detección y eliminación:

* Impide el acceso al registro de Windows.
* Modifica el sistema de forma que cada vez que se ejecute un fichero con extensión art, dat, avi, ini y pif se ejecute el código del gusano.
* Asigna el icono de Microsoft Word para que los ficheros scr (ejecutables de
salva pantallas) tengan el icono de documento de texto, y no resulte sospechosa su apertura.
* Hace que las extensiones bat, com, exe y scr (todos ellos ficheros ejecutables y por tanto, potencialmente peligrosos) no sean mostradas en pantalla.
* Elimina del menú "Inicio" la opción "Ejecutar".
* Impide la exploración del disco duro a través del explorador de Windows.
* Finaliza numerosas aplicaciones de seguridad.

Con estas modificaciones, Nedro.B no solo facilita su ocultamiento, sino que deja en un estado peligroso al sistema ya que otros códigos maliciosos podrían introducirse en el ordenador aprovechando el estado precario del equipo.

Haxdoor.NJ es un backdoor que obtiene diferentes tipos de contraseñas del ordenador afectado, como son las de inicio de sesión y de los clientes de correo Outlook y The Bat. Además de estas contraseñas, Haxdoor.NJ intenta robar las que el usuario emplee para los sistemas eBay, e-gold y paypal. Una vez conseguidas, envía los datos recogidos al autor del código utilizando un rootkit detectado como Rootkit/Haxdoor.NJ.

Haxdoor.NJ no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Además, este rootkit abre tres puertos aleatorios para que su autor obtenga los datos que ha recogido.

Para propagarse, Haxdoor.NJ inyecta su código en el proceso de Windows explorer.exe, de manera que asegura su ejecución en cada arranque del sistema, y para evitar que el firewall de Windows XP SP2 le impida llevar a cabo su trabajo, en el momento de instalarse modifica la configuración del cortafuegos, de manera que se le considere una aplicación autorizada a saltarse el cortafuegos.

Oído, creo que se actualiza automáticamente el mío pero haberá que comprobar.

·
El informe de esta semana centra su atención en los troyanos Sinowal.CR, Briz.R. y en el gusano Sohanat.U.

Sinowal.CR está diseñado para recopilar información confidencial de los ordenadores afectados, tales como contraseñas y otros datos almacenados por Protected Storage, o clientes de correo electrónico como Ak-Mail, Eudora y The Bat, entre otros.

Además de lo anterior, Sinowal.CR, también obtiene datos de las máquinas a las que afecta, como dirección IP, nombre, área geográfica donde se encuentra, puertos abiertos, etc. Posteriormente, el propio troyano se encarga de enviar la información robada a determinados servidores de Internet.

Al igual que la mayoría de los troyanos, Sinowal.CR no puede propagarse automáticamente, sino que precisa de la intervención de un usuario malicioso. Así, puede ser encontrado en disquetes o CD-ROMs infectados, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencias de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Por su parte, Briz.R es un troyano muy peligroso, ya que está diseñado para permitir a un delincuente el control remoto de los ordenadores afectados, así como para redirigir a los usuarios hacia falsas páginas web diseñadas para robar datos confidenciales. El origen de este código malicioso se encuentra en la trama de venta y creación de troyanos personalizados Briz que se descubrió y desmanteló hace unos meses.

El ataque de Briz.R comienza con la instalación de un archivo llamado iexplore.exe, que tiene como misión comprobar si existe conexión a Internet. En caso positivo, descarga otro archivo llamado ieschedule.exe, que permite almacenar parámetros de configuración del troyano, como puede ser el número del puerto por el que enviará la información robada.

Otro de los componentes descargados es ieserver.exe, que es el encargado de crear un servidor web en el equipo. La función de este servidor web es la de redirigir al usuario hacia páginas web falsificadas -diseñadas para robar datos personales- cada vez que intente acceder a ciertas de direcciones de Internet, muchas de ellas correspondientes a servicios financieros online. En caso de que el usuario introduzca datos en las páginas falsas, el troyano robará y enviará los datos al delincuente. Este servidor web también permite el control remoto del ordenador afectado, a través de la instalación de una aplicación programada en PHP llamada phpRemoteView.

Además, Briz.R también modifica el archivo hosts del sistema, de manera que impide el acceso a un gran número de páginas web relacionadas con seguridad informática.

Finalmente, Sohanat.U es un gusano que se propaga a través de programas de mensajería instantánea como Yahoo Messenger, AIM o Windows Live Messenger, entre otros. Para ello, envía mensajes como "Download free MP3s", incluyendo un link que, al ser pulsado, descarga una copia del gusano en el ordenador.

Una vez en el equipo, el gusano desactiva procesos correspondientes a algunas aplicaciones de seguridad. Además, modifica la página de inicio de Internet Explorer para que apunte a cierta dirección de Internet.

Sohanat.U también desactiva el acceso al Administrador de Tareas de Windows, así como al programa regedit.exe. Con ello, trata de impedir que el usuario pueda eliminarle de su ordenador.

¨
El informe de esta semana se ocupa de los gusanos Spamta.IC y Mytob.QA, así como del troyano ProxyServer.D.

Spamta.IC es un gusano diseñado para enviar, a través de correo electrónico, al troyano SpamtaLoad.N. Los mensajes que envía simulan ser errores de envío, y adjuntan un archivo con el icono típico de los archivos de texto que contiene al mencionado troyano. Sin embargo, en caso de que el usuario ejecute dicho fichero, el sistema quedará infectado por SpamtaLoad.N. Este último, entre otras acciones, se ocupará de descargar a Spamta.IC en el ordenador.

Spamta.IC crea, además, diversas entradas en el registro de Windows, con el objetivo de asegurar su ejecución cada vez que se reinicie el sistema.

Por su parte, Mytob.QA es un gusano con características de backdoor. Tiene la capacidad de conectarse a un servidor para recibir órdenes de un atacante remoto. Para propagarse, Mytob.QA envía -a las direcciones que encuentra en un gran número de archivos de los ordenadores a los que afecta- mensajes de correo electrónico que tienen como asunto Account Alert!.

Entre las acciones más significativas que este gusano lleva a cabo se encuentra la finalización de procesos en memoria pertenecientes a diversas herramientas de seguridad, como programas antivirus o firewalls, entre otros.

Por último, el troyano ProxyServer.D, está diseñado para descargar varios archivos desde cierta página web y emplear técnicas de rootkit para ocultarlos. Además de ello, instala un driver y crea un servidor proxy en un puerto aleatorio del ordenador afectado.

ProxyServer.D mide, incluso, la velocidad de la conexión a Internet de cada ordenador en que se instala. Para ello, intenta descargar el programa ICQ desde cierta página web y envía una llamada a varias direcciones IP para averiguar la velocidad de respuesta.

Al igual que la mayoría de los troyanos, ProxyServer.D no puede propagarse automáticamente, sino que precisa de la intervención de un usuario malicioso. Así, puede ser encontrado en disquetes o CD-ROMs infectados, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencias de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

'
El informe de esta semana se ocupa de los gusanos Netsad.D y Nuwar.A, así como del backdoor Nixfed.A.

El gusano Netsad.F utiliza un sistema ya clásico para evitar su detección: finaliza procesos pertenecientes a diversas herramientas de seguridad. Con esta técnica, muchos códigos pretenden no solo no ser detectados, sino dejar al ordenador del usuario afectado sin defensas contra otras amenazas. Además, hace cambios en la configuración del sistema para que el usuario no pueda acceder a numerosas páginas web de fabricantes de programas de seguridad.

Para propagarse, Netsad.F emplea dos sistemas distintos. Por un lado, el correo electrónico, mandándose a sí mismo en mensajes que aparentan provenir de yahoo.com, falseando la dirección del remitente real. Los asuntos de los mensajes son o bien llamadas a la curiosidad del usuario ("classroom test of you?", "I have your password!", "old photos about you?", etc) o bien mensajes que aparentan ser comunicaciones sobre algún error del sistema ("Deliver Error", "Deliver Mail", "Delivery Failure", etc). El código del gusano se encuentra almacenado en un fichero adjunto al mensaje, cuyo nombre también varía, como por ejemplo MAIL.PIF, PANDA.EXE, README.HTML.CMD, etc.

Además de por correo electrónico, este gusano intenta propagarse a través de redes P2P. Para ello, introduce una copia del código en los directorios compartidos de Emule, KaZaA o Morpheus con nombres que inciten a usuarios de estos sistemas a su descarga ("FunGame.flash.exe", "PasswordFinder.exe", "pornoPic.scr", etc).

Similares acciones ejecuta el gusano Nuwar.A para pasar desapercibido, aunque con menor efectividad. Si Netsad.F es capaz de descargar de memoria más de 350 procesos distintos, Nuwar.A no llega siquiera a 15. En cambio, en el correo electrónico con el que se propaga utiliza muchas más direcciones falsas, y con más dominios que el único empleado por Netsad.F.

El asunto del mensaje de propagación siempre atañe a un tema relacionado con la política, haciendo mención a la tercera guerra mundial o a los presidentes Bush o Putin.

Por último, en este informe vamos a centrar la atención en el backdoor Nixfed.A. Este programa, una vez instalado en el sistema, deja abierta la posibilidad de que el ordenador sea controlado por un tercero sin que el usuario se de cuenta.
Entre las acciones que puede llevar a cabo este backdoor, están:

* Registrar las pulsaciones de teclado introducidas por el usuario.
* Realizar capturas de pantalla.
* Transferir archivos.
* Reiniciar y/o apagar el ordenador.
* Iniciar una sesión de chat con el ordenador afectado.
* Abrir la bandeja de la unidad de CD-ROM.
* Establecer una clave para iniciar la conexión en ese ordenador.
* Controlar el tráfico de red generado.
* Registrar las acciones realizadas en el sistema.
* Ejecutarse con cada inicio de sesión.
* Deshabilitar el Administrador de Tareas.

Nixfed.A supone un elevado peligro para los usuarios infectados, ya que todas las acciones que lleve a cabo pueden ser vigiladas, incluso aquellas más confidenciales como las transacciones bancarias.

yo es que desde que tengo este pc..hace 4 años nunca y digo nunca he actualizado nada de microsoft...y hasta la fecha lo unico que me ha infectado fue el blaster..asi que ....ya le pueden ir dando por donde escuezen los pepinos a la gente me microsoft.....el iexplorer y el outlook y el windows mierda player.
he dicho..de todos modos gracias por la informacion vic.

El informe de esta semana se ocupa de los troyanos Nabload.TH y Banker.FFX, del gusano Spamta.LZ y del virus Radoppan.A.

Nabload.TH es un troyano diseñado para conectarse a cierta página web desde la que descarga y ejecuta al troyano Banker.FFX. Un dato a tener en cuenta, es que, mientras está descargando a dicho troyano, Nabload.TH muestra un vídeo al usuario con el objetivo de desviar su atención. Al igual que la mayoría de los troyanos, Nabload.FH no puede propagarse por sus propios medios, sino que precisa de la intervención de usuarios maliciosos para distribuirse.

Por su parte, Banker.FFX es un troyano que controla el tráfico de Internet generado cuando el usuario accede a las páginas web de algunas entidades bancarias, entre las que pueden mencionarse el Banco do Brasil o Bradesco.
Así, cuando el usuario accede a dichas páginas web, el troyano muestra una pantalla falsa de acceso, imitando a la original. De esta manera, consigue capturar datos confidenciales de los usuarios con los que cometer estafas online. Dichos datos son enviados posteriormente a una dirección de correo electrónico predeterminada por el creador del troyano.

Spamta.LZ es un gusano de correo electrónico cuya misión es propagar a un troyano denominado SpamtaLoad.BE. Para ello, envía mensajes de correo electrónico con archivos adjuntos que contienen al mencionado troyano. Dichos mensajes tienen asunto y cuerpo de texto variable, lo mismo que el archivo que contiene a SpamtaLoad.BE. Este troyano es el encargado de descargar a Spamta.LZ en el sistema, de manera que el ciclo se repita en cada ordenador infectado.

Por último, Radoppan.A es un virus que, además, tiene características de gusano. Esta diseñado para infectar todos los archivos ejecutables que encuentre en el ordenador afectado. Además de ello, instala en el equipo el rootkit Krpan.D para ocultar sus procesos y archivos, así como las entradas que genera en el Registro de Windows.
Para propagarse, puede copiarse en recursos compartidos de red, o enviarse a través de correo electrónico utilizando su propio motor SMTP.

'
El informe de esta semana se ocupa de las vulnerabilidades para Microsoft MS06-066, MS06-067, MS06-068, MS06-069, MS06-070 y MS06-071, así como del gusano TelnetOn.A y el troyano Briz.S.

Los boletines MS06-067 a MS06-071 se refieren a distintas vulnerabilidades de carácter crítico, incluyendo una actualización acumulativa para Internet Explorer (MS06-067), en Flash Player (MS06-069) y XML Core Services (MS06-071).El boletín MS06-066 adquiere categoría de "importante" y se refiere a problemas en el servicio cliente de Netware.

Microsoft pone a disposición de los usuarios parches que posibilitan la corrección de estas vulnerabilidades. Se recomienda la instalación de estas actualizaciones lo antes posible, ya que muchos de estos problemas de seguridad permiten la ejecución de código que puede comprometer los sistemas mencionados.

Por su parte, el gusano TelnetOn.A actúa creando una cuenta de Administrador en el ordenador afectado, lo que le permite adquirir el control total de la máquina por medio del servicio Telnet. Una de sus características importantes es que finaliza procesos pertenecientes a diversas herramientas de seguridad, como pueden ser programas antivirus o firewall. Además, también finaliza procesos pertenecientes a otros códigos maliciosos.

Una vez insertado en la máquina, TelnetOn.A impide el acceso a unas páginas determinadas, como por ejemplo las pertenecientes a algunas aplicaciones antivirus. La propagación de este gusano se realiza a través de los programas P2P eMule, KaZaA y Morpheus, del programa mIRC y del correo electrónico.

Por último, Briz.S es un troyano del tipo "ladrón de contraseñas". Consta de varios componentes descargados de Internet, cuya misión es obtener información privada del ordenador, como su dirección IP, y capturar información introducida por el usuario en formularios a través de Internet Explorer. Su objetivo es obtener contraseñas de cuentas de correo, servicios bancarios y otros servicios online.

Otra de sus particularidades es la de impedir el acceso del ordenador afectado a determinados sitios web relacionados con compañías antivirus. Además, se aprovecha de la máquina infectada para usarla como gateway o pasarela, pudiendo así conectarse a servicios de Telnet, SMTP, FTP y HTTP de terceros de manera anónima. Briz.S necesita la intervención de un usuario atacante para su propagación, por lo que puede llegar a los ordenadores a través de multitud de medios, como pueden ser CD-ROMs, descargas de Internet, mensajes de correo con archivos adjuntos o canales IRC.

¨
El informe de esta semana se ocupa del gusano FormShared.A y de los troyanos Banker.FOH y Banbra.DMW.

FormShared.A es un gusano que, en realidad, tiene como objetivo propagar al troyano SpyForms.S a través de programas de intercambio de archivos punto a punto (P2P).
Para conseguirlo, FormShared.A cuenta con su propio cliente P2P. Así, crea una subcarpeta denominada SHARED en el directorio de Windows. La misma contiene una serie de archivos con nombres falseados para que otros usuarios que accedan a dicho directorio descarguen de manera voluntaria a SpyForms.S. Algunos de los nombres que el gusano puede utilizar para crear dichos ficheros son: 4SCREENSV3.19 BY MP2K.CZIP, 4T AV V1.8 CD-VERSION FOR PALMOS.CZIP, 4T PUBLICATION 1.2 FOR PALMOS.CZIP, o 4TEAM FOR MICROSOFT OUTLOOK 2002 V1.50.0202 RETAIL.CZIP.

Por su parte, Banker.FOH es un troyano diseñado para robar información confidencial del ordenador afectado, como nombres de usuario y contraseñas. Para ello, registra las pulsaciones de teclado introducidas por el usuario, almacenándolas y enviándolas posteriormente por correo electrónico.
Como dato a tener en cuenta, en caso de que Banker.FOH se ejecute en un ordenador sin conexión a Internet, se mostrará un mensaje de error en pantalla con el texto: Socket Error # 11004.
Al igual que la mayoría de los troyanos, Banker.FOH no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario malicioso para ello. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Finalmente, Banbra.DMW es un troyano que esta diseñado para robar datos confidenciales de los usuarios de una conocida entidad bancaria de Brasil. Una de sus características es que se trata de un código malicioso de "un solo uso", ya que solamente se ejecuta una vez en cada ordenador al que afecta.
Cada vez que infecta un ordenador, Banbra.DMW envía un mensaje de correo electrónico al autor del troyano indicando el nombre de usuario y la hora de infección de la máquina. Hecho esto, secuestra el navegador Internet Explorer a la espera de que el usuario acceda a la página de la entidad bancaria. En ese momento, Banbra.DMW lo redirige a una página web falsa -creada por el propio troyano- y que imita a la original.
Por último, el troyano recopila y envía por correo electrónico todos los datos robados, con los que el atacante puede realizar estafas online y robos de identidad.