Por Jose Luis
Lopez - El atacante descargó un pequeño archivo conteniendo un código en
JavaScript para infectar estos sitios, alterando la configuración de los
servidores para que los mismos agreguen dicho script a todas los archivos que
son solicitados por los usuarios (HTML, CSS, GIF, JPG, etc.).
Cuando un usuario visita el sitio infectado utilizando el Internet Explorer, el
javascript es enviado a su máquina, y ejecutado. Las instrucciones del
javascript descargan y ejecutan desde otro sitio de Internet, ubicado en Rusia,
un troyano potencialmente peligroso.
Se han reportado diferentes ejecutables. Todos estos caballos de Troya incluyen
capturadores de teclado (keyloggers), servidores proxy y otras puertas traseras
que le permiten al atacante, el acceso total al sistema infectado.
El código en javascript utiliza una vulnerabilidad conocida del Microsoft
Internet Explorer para descargarlos y ejecutarlos, sin que ninguna advertencia
sea mostrada al usuario. Este tampoco debe hacer ningún clic sobre enlace alguno
para infectarse (salvo el primero que lo llevó a visitar un sitio que
perfectamente podría ser considerado seguro y que tal vez visitara todos los
días, pero que ha sido también infectado).
Para administradores de sitios Web
Si su servidor está comprometido, usted puede observar lo siguiente:
- Todos los archivos enviados por el servidor web incluyen el javascript. Como
el script es enviado como un pie de página global (global footer), todos los
archivos lo agregarán, incluidas imágenes y otros documentos como archivos
robots.txt, etc.
- Los archivos en el servidor no son alterados. El javascript se incluye como un
pie de página global y es agregado por el servidor cuando los solicita el
navegador.
- El "global footer" es puesto en un nuevo archivo.
No existen indicios claros de como se llegó a comprometer los primeros
servidores atacados. La recomendación es reinstalar completamente un servidor
que haya sido infectado, ya que quitando la opción de agregar el pie de página y
borrando el javascript, no es posible asegurarse de haber eliminado otras
amenazas que aún pueden permanecer latentes. Se trata de un ataque muy
sofisticado y podrían existir otras puertas traseras escondidas.
Microsoft publicó una advertencia sobre el tema, en donde explica que también
son vulnerables los usuarios de Windows 2000 Server que utilizan IIS, y que no
hayan aplicado el parche 835732 para Windows, según se indica en uno de los
últimos boletines emitidos por la compañía (MS04-011).
Microsoft recomienda a estos usuarios, descargar e instalar dicho parche. Más
información:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
Para usuarios domésticos
Si usted visita un sitio infectado y su navegador es afectado, tenga en cuenta
lo siguiente:
- Puede ver un error relacionado con un javascript. Pero ello dependerá de como
se tenga configurado el Explorer. Tenga en cuenta que la infección puede ocurrir
aún sin este mensaje.
- Desconecte su sistema de la red tan pronto como pueda.
- Ejecute un antivirus actualizado (busque la última disponible, teniendo en
cuenta que los fabricantes actualizaron sus productos entre el 25 y el 26 de
junio, una base de datos con una fecha anterior no detectaría nada).
- Si usted utiliza un cortafuegos o es capaz de controlar de algún modo el
tráfico de su PC hacia Internet, tal vez podrá ver los intentos de conexión con
la dirección IP 217.107.218.147 por el puerto 80. Recuerde que en el caso de
Windows XP el cortafuegos integrado solo le bloquea el tráfico entrante, no el
saliente, por ello recomendamos ZoneAlarm u otro similar.
- No se han reportado hasta el momento, otras direcciones a las que el troyano
intente conectarse, pero como dicho sitio ha sido desactivado, los atacantes
podrían emplear los mismos métodos utilizados hasta ahora, para implantar un
nuevo script que apunte a nuevas direcciones.
- La mayoría de los fabricantes de antivirus detectan este script como "Scob",
con diferentes variaciones en su nombre (Toofer, Download.Ject, JS/Scob,
JS.Toofer, JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan,
JS/Scob-A, Trojan.JS.Scob.a).
- Una de las vulnerabilidades utilizadas (pero no todas), puede ser bloqueada
descargando e instalando el siguiente parche (aunque se menciona el Outlook
Express, corrige el fallo para todos los demás componentes de Windows):
MS04-013 Parche acumulativo para Outlook Express (837009)
http://www.vsantivirus.com/vulms04-013.htm
Lo que usted se pregunta sobre este ataque:
- ¿Cuál es el escenario del ataque?
Este ataque afecta sitios Web corriendo el servicio Microsoft Internet
Information Server (IIS) versión 5. Por medio de ellos, son comprometidos los
sistemas de los usuarios finales que utilizan Internet Explorer y visitan estos
sitios.
- ¿Es esta la primera vez que tantos servidores de Internet han sido
comprometidos para atacar navegadores?
No. El gusano Nimda intentó el mismo truco utilizando una vieja vulnerabilidad
del Microsoft Internet Explorer. Se han observado otros intentos en el pasado.
Este ataque es especial porque afecta a muchos servidores y no es fácilmente
perceptible.
- ¿Los sitios afectados son "mutilados" o alterados de alguna forma?
No. En la mayoría de los casos, los usuarios y los navegadores verán igual que
siempre a los sitios afectados. Sin embargo, el javascript infectado puede
llegar a interferir con otro javascript en la página respectiva.
- ¿El javascript que el servidor agrega a las imágenes, también puede ser
ejecutado?
No. El javascript agregado a las imágenes es inocuo. Solo el agregado a los
archivos HTML puede ser ejecutado, forzando al navegador a conectarse
clandestinamente al sitio del que descarga el segundo troyano.
- ¿Cómo se puede proteger un servidor de Internet de esta infección?
Aplique todos los parches necesarios. Si usted encuentra un servidor sin los
últimos parches, debería presumir que el servidor ha sido comprometido, aún si
no ha visto signos obvios de un ataque. Dado el entorno actual de esta amenaza,
un servidor sin los últimos parches, es muy probable pueda ser atacado
exitosamente en las próximas horas.
- ¿Cómo se puede proteger
a los usuarios para que no visiten estos sitios web? ¿Se ha publicado alguna
lista? ¿Debe evitarse la navegación por Internet?.
No se ha proporcionado ninguna lista de sitios infectados. Los sitios afectados
han sido alertados y la mayoría ha actuado rápidamente para eliminar la
infección. En el momento actual, no se conoce de ningún sitio que todavía tenga
el script. Sin embargo, dado que este tipo de ataque tiene muchas posibilidades
de ser repetido utilizando un código diferente de javascript, se recomienda
mantener actualizado el software antivirus, y desactivar JavaScript de su
navegador.
Los usuarios finales deben tomar la precaución de deshabilitar la opción de
ejecutar scripts. Se debe tener en cuenta que cualquier sitio Web, aun aquellos
en los que confíe el usuario, pueden ser afectados por este ataque y contener
código potencialmente malicioso.
En VSAntivirus recomendamos enfáticamente la configuración sugerida en el
siguiente enlace, que previene la activación de cualquier clase de código script:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Enlaces relacionados:
JS/Scob.A. Descarga archivos al visitar sitios Web
http://www.vsantivirus.com/js-scob-a.htm
W32/Scob.A. Infecta servidores IIS 5.0
http://www.vsantivirus.com/scob-a.htm
Back/Padodor.W. Roba información confidencial
http://www.vsantivirus.com/back-padodor-w.htm
Fuente:
The SANS Institute (System Administration, Networking, and Security Institute),
http://isc.sans.org/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com |