El equipo de Atención al Cliente de BitDefender avisa sobre nuevas
tendencias en las posibles amenazas en Internet. Con una simple
visualización de una página Web, alguien puede invadir su
privacidad, de tal forma que puede perder el control de su
ordenador.
La alerta, se debe a un nuevo virus llamado JS.Coolnow.A, un virus
que, mediante un script, aprovecha un agujero de seguridad de
Internet Explorer.
"Esta vez, el virus no es nada peligroso, y sólo afecta a los
ordenadores que tienen instalado el MSN Messenger, enviando mensajes
a las personas que se encuentran en la lista de contactos. Por
suerte, no se necesita un proceso de desinfección." dijo José Manuel
López, Director Técnico de BitDefender España. "Los virus, como el
JS.Coolnow.A, que utilizan una página Web para producir efectos no
deseados con un simple clic de ratón, acentúan la tendencia de los
creadores de virus a generar este tipo de eventos. Aunque no es el
único, el CoolNow puede ser el principio de un desarrollo con
efectos mucho más peligrosos.", añade el Sr. López.
Los productos BitDefender detectaron este virus, bloqueando su
script mediante el módulo de Active Content Controlling (ACC) antes
de que se desarrollara el antídoto y se actualizara el antivirus.
El script se aprovecha de una vulnerabilidad de Internet Explorer.
Se ejecuta cuando se carga una página HTML desde una de las
direcciones:
"http://www.rjde……../cool" (el texto no está finalizado para evitar
un link involuntario)
"http://www.geocities.com/………tx1.htm" , etc…
El mensaje "Please Wait…" aparece en el centro de la página. A la
vez se abre otra página Web que se minimiza, con el título "Please
Wait…".
A través de esta página, el script envía mensajes a los usuarios de
la libreta de contactos de MSN Messenger en el caso de que esté
instalado.
El texto del mensaje puede ser:
"Hey Go to http://www.geocities.com /……./teztx1.htm plz" o
"ATTeNT!oN - Go to: http://www.geocities.com/….. /teztx1.htm"
"URGENT - Go to http://www.rjde…… /cool Now"
A través de una forma oculta, envía un e-mail a una dirección
utilizando un script desde una Web pública.
Como podemos observar, cada vez son más los ordenadores que se
infectan por medio de los programas de mensajería instantánea, una
herramienta cada vez más usada por las empresas como vía de
comunicación económica entre delegaciones de una misma empresa, pero
que debe de ser protegida, al igual que los programas de correo o
Internet. Afortunadamente, los clientes de BitDefender no deben de
preocuparse por este nuevo virus, ya que es el único antivirus del
mercado que incorpora protección para mensajería instantánea.
Más información acerca de la gama de productos y servicios de
BitDefender encontrará en nuestra página Web: www.bitdefender-es.com.
Otro virus destacable de la semana es :
Nombre: Win32.Rexli.A@mm
Aliases: W32/Rexli-A
Tipo: Ejecutable Mass Mailer
Tamaño: ~53248 bytes
Descubierto: 13 de Febrero del 2002
Detectado: 13 de febrero del 2002, 16:00 (GMT+1)
Propagación: Alto
Riesgo: Medio
ITW: No
Síntomas:
- Se crean los ficheros rexec.exe y linki.exe en el directorio del
sistema (habitualmente C:\Windows\System o C:\Winnt\System32)
- Se crean los ficheros C:\rapp.exe y rbatC.bat (aleatoriamente)
Descripción técnica:
Se trata de un gusano de Internet programado en Visual Basic 6. Se
propaga a través de Microsoft Outlook y mIrc.
Llega como fichero adjunto a un mail y tiene el siguiente formato:
Asunto: Cool linki
Mensaje: Przesylam ci znaleziona baze danych linków. Jest tam duzo
stron, których na pewno nie znasz :)
Fichero adjunto: linki.exe
El texto del mensaje está en polaco (probablemente el idioma del
creador del virus).
Al ejecutarlo, el virus mostrará una ventana con un mensaje falso de
error:
"Error while loading <file.exe>" donde <file.exe> es el nombre del
ejecutable (normalmente linki.exe).
Si se ejecuta por primera vez, creará unas claves en el registro:
HKEY_CURRENT_USER\Software\VB and VBA Settings\Rax, donde se
guardará tantas veces como se haya ejecutado el virus. El virus se
copia a sí mismo en el directorio del sistema como rexec.exe y
linki.exe. Para ejecutarse en cada reinicio, modifica el archivo
win.ini en la sección [windows] la línea:
Load=%systemdir%\REXEC.EXE
Donde %systemdir% es el directorio del sistema.
En caso de detectar el programa mIrc sobre rescribe el fichero
script.ini para auto enviarse a todos los interlocutores del chat.
Este script probablemente se modificó desde el código del virus
LoveLetter para propagarse a través de mIrc.
A continuación analizará todos los discos donde el virus
sobrescribirá todos los ficheros vbs con un script que ejecutará el
fichero rexec.exe ubicado en el directorio del sistema. Después
enviará mensajes de e-mail infectados a todos los contactos de la
libreta de direcciones de Outlook en el formato mencionado
anteriormente.
En caso que el virus se ejecute 100 veces se crearán los ficheros
C:\rapp.exe y C:\rbatC.bat, añadiendo una instrucción en el
autoexec.bat para ejecutar el fichero rbatC.bat. El fichero *.bat
copiará internat.exe en internat.bak y copiará el virus (desde
rapp.exe) en internat.exe
sábado, 24 mayo 2014 |