La actualidad - índice actualidad

 
 
El navegador de Internet ya no es seguro: nuevos virus aprovechan la navegación para atacar a equipos


El equipo de Atención al Cliente de BitDefender avisa sobre nuevas tendencias en las posibles amenazas en Internet. Con una simple visualización de una página Web, alguien puede invadir su privacidad, de tal forma que puede perder el control de su ordenador.

La alerta, se debe a un nuevo virus llamado JS.Coolnow.A, un virus que, mediante un script, aprovecha un agujero de seguridad de Internet Explorer.

"Esta vez, el virus no es nada peligroso, y sólo afecta a los ordenadores que tienen instalado el MSN Messenger, enviando mensajes a las personas que se encuentran en la lista de contactos. Por suerte, no se necesita un proceso de desinfección." dijo José Manuel López, Director Técnico de BitDefender España. "Los virus, como el JS.Coolnow.A, que utilizan una página Web para producir efectos no deseados con un simple clic de ratón, acentúan la tendencia de los creadores de virus a generar este tipo de eventos. Aunque no es el único, el CoolNow puede ser el principio de un desarrollo con efectos mucho más peligrosos.", añade el Sr. López.

Los productos BitDefender detectaron este virus, bloqueando su script mediante el módulo de Active Content Controlling (ACC) antes de que se desarrollara el antídoto y se actualizara el antivirus.

El script se aprovecha de una vulnerabilidad de Internet Explorer.
Se ejecuta cuando se carga una página HTML desde una de las direcciones:
"http://www.rjde……../cool" (el texto no está finalizado para evitar un link involuntario)
"http://www.geocities.com/………tx1.htm" , etc…



El mensaje "Please Wait…" aparece en el centro de la página. A la vez se abre otra página Web que se minimiza, con el título "Please Wait…".
A través de esta página, el script envía mensajes a los usuarios de la libreta de contactos de MSN Messenger en el caso de que esté instalado.
El texto del mensaje puede ser:
"Hey Go to http://www.geocities.com /……./teztx1.htm plz" o
"ATTeNT!oN - Go to: http://www.geocities.com/….. /teztx1.htm"
"URGENT - Go to http://www.rjde…… /cool Now"

A través de una forma oculta, envía un e-mail a una dirección utilizando un script desde una Web pública.

Como podemos observar, cada vez son más los ordenadores que se infectan por medio de los programas de mensajería instantánea, una herramienta cada vez más usada por las empresas como vía de comunicación económica entre delegaciones de una misma empresa, pero que debe de ser protegida, al igual que los programas de correo o Internet. Afortunadamente, los clientes de BitDefender no deben de preocuparse por este nuevo virus, ya que es el único antivirus del mercado que incorpora protección para mensajería instantánea.

Más información acerca de la gama de productos y servicios de BitDefender encontrará en nuestra página Web: www.bitdefender-es.com.

Otro virus destacable de la semana es :

Nombre: Win32.Rexli.A@mm
Aliases: W32/Rexli-A
Tipo: Ejecutable Mass Mailer
Tamaño: ~53248 bytes
Descubierto: 13 de Febrero del 2002
Detectado: 13 de febrero del 2002, 16:00 (GMT+1)
Propagación: Alto
Riesgo: Medio
ITW: No

Síntomas:
- Se crean los ficheros rexec.exe y linki.exe en el directorio del sistema (habitualmente C:\Windows\System o C:\Winnt\System32)
- Se crean los ficheros C:\rapp.exe y rbatC.bat (aleatoriamente)

Descripción técnica:
Se trata de un gusano de Internet programado en Visual Basic 6. Se propaga a través de Microsoft Outlook y mIrc.
Llega como fichero adjunto a un mail y tiene el siguiente formato:



Asunto: Cool linki
Mensaje: Przesylam ci znaleziona baze danych linków. Jest tam duzo stron, których na pewno nie znasz :)
Fichero adjunto: linki.exe
El texto del mensaje está en polaco (probablemente el idioma del creador del virus).
Al ejecutarlo, el virus mostrará una ventana con un mensaje falso de error:
"Error while loading <file.exe>" donde <file.exe> es el nombre del ejecutable (normalmente linki.exe).
Si se ejecuta por primera vez, creará unas claves en el registro:
HKEY_CURRENT_USER\Software\VB and VBA Settings\Rax, donde se guardará tantas veces como se haya ejecutado el virus. El virus se copia a sí mismo en el directorio del sistema como rexec.exe y linki.exe. Para ejecutarse en cada reinicio, modifica el archivo win.ini en la sección [windows] la línea:
Load=%systemdir%\REXEC.EXE
Donde %systemdir% es el directorio del sistema.
En caso de detectar el programa mIrc sobre rescribe el fichero script.ini para auto enviarse a todos los interlocutores del chat. Este script probablemente se modificó desde el código del virus LoveLetter para propagarse a través de mIrc.
A continuación analizará todos los discos donde el virus sobrescribirá todos los ficheros vbs con un script que ejecutará el fichero rexec.exe ubicado en el directorio del sistema. Después enviará mensajes de e-mail infectados a todos los contactos de la libreta de direcciones de Outlook en el formato mencionado anteriormente.
En caso que el virus se ejecute 100 veces se crearán los ficheros C:\rapp.exe y C:\rbatC.bat, añadiendo una instrucción en el autoexec.bat para ejecutar el fichero rbatC.bat. El fichero *.bat copiará internat.exe en internat.bak y copiará el virus (desde rapp.exe) en internat.exe
 

sábado, 24 mayo 2014