En su reporte semanal, el proveedor de soluciones antivirus
señaló que el archivo hace uso de una vulnerabilidad recientemente descubierta
en diversas aplicaciones de Microsoft al leer y procesar archivos gráficos JPEG
o JPG.
Explicó que esta herramienta se propaga en imágenes JPEG construidas para
aprovechar la citada vulnerabilidad, y descarga de Internet un troyano,
identificado como EXPL_JPGDOWN.A, que abre puertos en la computadora infectada y
descarga un archivo ejecutable.
Aunque no se ha detectado ningún efecto destructivo en estos códigos, su forma
de infectar es tan sencilla como navegar por sitios Web con imágenes
contaminadas, al recibir correos electrónicos en formato HTML, en los que haya
enlaces o con imágenes infectadas que se desplieguen como parte del mensaje y no
como archivos adjuntos.
El riesgo se incrementa al visitar sitios de Internet para adultos y otros con
escaso control de contenidos y de seguridad, advirtió la firma.
Refirió que el 14 de septiembre pasado Microsoft liberó una solución a esta
vulnerabilidad, cuya explicación se encuentra en la dirección www.microsoft.com/technet/security/bulletin/ms04-028.mspx.
De acuerdo con Trend Micro, los autores de HKTL_JPGDOWN.A podrían ser
profesionales que mantienen rutinas de investigación y desarrollo de códigos
maliciosos, toda vez que a sólo dos semanas de haberse anunciado la
vulnerabilidad crearon dicha herramienta.
La firma detalló que HKTL_JPGDOWN.A crea imágenes en formato JPEG (Joint
Photographic Experts Group, un estándar de compresión para la transmisión de
imágenes a través de Internet) que explota una vulnerabilidad de desbordamiento
de memoria en Windows XP.
Esta vulnerabilidad consiste en una falla en el procesamiento de imágenes JPEG
que podría permitir a un usuario remoto ejecutar códigos maliciosos en la
computadora infectada.
Cuando el usuario conectado a una máquina infectada posee privilegios de
administrador, esta vulnerabilidad permite a un atacante tomar control de la
computadora afectada y efectuar acciones como la instalación de programas; ver,
cambiar y borrar datos; así como crear cuentas nuevas con privilegios completos.
Para propagar la herramienta de hackeo, un atacante tiene diversas opciones,
todas ellas dirigidas a convencer a un usuario a observar imágenes en el formato
JPEG, que pueden ser capturadas como parte de mensaje de correo electrónico HTML,
o en una página Web.
En todos los casos, la imagen debe desplegarse en la pantalla, por lo que cuando
el mensaje las incluye como archivo adjunto no debe abrirse para evitar la
ejecución de la herramienta.
Finalmente, Trend Micro dio a conocer que los 10 códigos maliciosos más
detectados en la semana del 24 al 30 de septiembre fueron PE_ZAFI.B,
WORM_NETSKY.P, HTML_NETSKY.P, WORM_NETSKY.D, PE_FUNLOVE.4099, JAVA_BYTEVER.A,
DEADLINK_NOVIRUS, PE_NIMDA.A-O, WORM_NETSKY.C y WORM_ANIG.A.
|