> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Martes 1 de julio de 2003 |
Noticias
Seguridad de la Información y Protección de DatosCreada una página ficticia de Microsoft para difundir un troyano
A mediados de esta semana, se ha avisado de la circulación de un correo electrónico simulando ser una actualización de Windows.
El mensaje (en formato HTML) invita al usuario a descargar un parche de Internet para actualizar Windows. El enlace a la falsa actualización de Microsoft es: http://www·windows-update·com (la verdadera es "www.windowsupdate.com"). El mensaje muestra este aspecto:
Dear Windows User!
New Windows 9x/2000/NT/XP critical patch has been
released. Due to security problems, your system
needs to be updated as earlier as possible.
You can download an update patch on Windows Update
site: http:/ /www·windows-update·com
Best regards, Windows Update GroupAl pulsar el link, el explorer accede a un sitio que contiene en su código una etiqueta iFrame, que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no. En vez de eso, la etiqueta iFrame obligará al navegador a abrirse 3354 veces. Esto provoca la descarga y ejecución del archivo "update0932.exe", superando las restricciones de seguridad que Windows impone a cualquier código cuando se usa dentro de un iFrame.
El archivo "update0932.exe" está comprimido con la utilidad UPX, y contiene un troyano del tipo Trojan.Downloader, que a su vez descarga el archivo "svghost.exe" desde la dirección IP 38.115.134.3. Este último es un troyano de 15.904 bytes, también comprimido con UPX, detectado como una variante del Troj/SdBot, un gusano de redes multi-componentes, que se propaga a través de recursos compartidos y que puede ser controlado vía IRC. Este troyano libera y ejecuta otro archivo para controlar la máquina de la víctima, "wsock32p.exe".
La falsa página fue creada el 22 de junio de 2003 y está a nombre de Ewa Pasternak Ivarsson, de Estocolmo (Suecia), según los registros.
La alarma fue dada por la empresa de seguridad informática dinamarquesa, Kruse Security, el 25 de junio.
Para evitar la ejecución de código a través de las etiquetas iFrame, se recomienda actualizar el Internet Explorer, con el parche indicado en el siguiente enlace: http://www.vsantivirus.com/vulms03-020.htm
Noticias relacionadas:
* Campamento para hackers (24.06)
* El virus 'Bugbear.B' infectó varios centros de la Policía Nacional (12.06)
David Monteiro Sopedra
Licenciado en Periodismo
BELT IBÉRICA, S.A.
belt@belt.es
Fuente: www.vsantivirus.com
29.06.03
