- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 12 de noviembre de 2004 - En la presente semana, el informe semanal sobre virus e intrusos se ocupa del exploit IFRAME.BoF, así como de los
gusanos Mydoom.AE, Mydoom.AF y Gavir.A.
IFRAME.BoF es un exploit diseñado para aprovechar un problema de seguridad de tipo desbordamiento de búfer que afecta a la versión 6.0 del
navegador Microsoft Internet Explorer, y que permite a un atacante ejecutar código arbitrario de forma remota en los sistemas afectados. Esta
vulnerabilidad ha sido calificada como extremadamente crítica.
El exploit puede ser insertado en páginas web maliciosas o en mensajes de correo electrónico en formato HTML, a los que se añade código
ejecutable.
Éste se ejecutará automáticamente en el momento que se produzca el desbordamiento de búfer. El código ejecutable puede ser de cualquier
naturaleza, lo que posibilita la realización de todo tipo de acciones maliciosas en los ordenadores afectados por este problema de seguridad.
Dado que aún no ha sido publicado ningún parche de seguridad para corregir el mencionado problema, lo más conveniente es mantener actualizado el
software antivirus. Además, es muy aconsejable desactivar la ejecución de "Active Scripting" del navegador, así como cambiar la configuración del
cliente de correo electrónico, de manera que los mensajes sean visualizados en formato de texto plano.
Precisamente, las nuevas variantes AE y AF del conocido gusano Mydoom ya utilizan el exploit IFRAME.BoF. Ambos gusanos -muy similares- se
propagan a través de correo electrónico en mensajes que ellos mismos componen. A este fin, crean un servidor HTTP en el puerto de comunicaciones 1639.
Los mensajes que Mydoom.AE y Mydoom.AF envían, incluyen un link a archivos que contienen el exploit IFRAME.BoF y que se encuentran en otros
ordenadores afectados. En caso de que el usuario que recibe el e-mail pulse sobre dicho enlace y su ordenador sea vulnerable, los gusanos se descargan y
ejecutan automáticamente en el sistema.
Además de lo anterior, Mydoom.AE y Mydoom.AF tratan de establecer conexiones con un gran número de servidores de IRC a través del puerto de
comunicaciones 6667.
Por último, Gavir.A es un gusano cuyo único objetivo es descargar una variante de la extensa familia de troyanos Legmir, en los ordenadores a
los que afecta. Gavir.A se propaga a través de recursos compartidos de red, creando copias de sí mismo en los recursos IPC$ y ADMIN$ a los que
consigue acceso.
Como dato a destacar, Gavir.A también genera un script en un directorio temporal, cuya función es borrarse a sí mismo una vez que ha terminado
su ejecución.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
- Exploit: es una técnica o un programa que aprovecha un fallo o hueco de seguridad -una vunerabilidad- existente en un determinado protocolo de
comunicaciones, sistema operativo, o herramienta informática.
- Script: el término script hace referencia a todos aquellos ficheros o secciones de código escritas en algún lenguaje de programación, como
Visual Basic Script (VBScript), JavaScript, etc.
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx