Por Jose Luis Lopez
videosoft@videosoft.net.uy

Nuestro nivel de alertas ha sido elevado a amarillo, debido al aumento de reportes sobre el exploit de la vulnerabilidad en archivos de cursores animados de Windows. El sitio del ISC (Internet Storm Center), también ha cambiado su nivel de alerta por este motivo.

Es importante aclarar, porque puede crear confusión, que aún cuando el nivel de alerta pase a amarillo, nuestros gráficos en “Virus Reporte”, http://www.vsantivirus.com/virusreporte.htm, no han tenido mayores variaciones, y solo se han generado algunos picos aislados, sin demasiada relevancia para las estadísticas totales en las últimas horas. Al menos hasta el momento de escribir esta nota (02:00 UTC del 1/04/07).

La razón es que no ha aumentado la cantidad de reportes globales, sino su peligrosidad, al enfocarse mayormente en el exploit que afecta a Windows. También porque el peligro se centra en la visita a sitios comprometidos, más que en correo electrónico infectado, aunque este es otro vector de ataque que no debemos descuidar.

El mayor problema, es que el código de dicho exploit ha sido hecho público, y resulta hasta trivial su modificación para cualquiera con mínimos conocimientos.

La cantidad de sitios reportados, que ejecutan el exploit cuando el usuario los visita (ninguna acción extra es requerida), crece rápidamente. Muchos de esos sitios, son muy visitados, sobre todo por usuarios que toman pocas o ninguna precaución (por ejemplo, sitios de intercambio social, etc.).

Algunos reportes, hablan de nuevas variantes, o variantes modificadas, de conocidos gusanos o troyanos, que utilizan este exploit para propagarse.

Algunos de ellos son reportados como variantes del Fujacks, un gusano que también es capaz de infectar archivos ejecutables.

Otros, inyectan enlaces que apuntan al exploit en archivos .ASP, .ASPX, .HTM, .HTML, .JSP y .PHP. Estos enlaces terminan descargando no solo nuevas variantes del propio exploit, sino otra clase de malware.

Como no importa la extensión de los cursores e íconos animados a la hora de ejecutarse, las posibilidades de pasar desapercibidos es mucha (cada vez recibimos más ejemplos de archivos .JPG, cuando la extensión original suele ser .ANI).

El aumento de spam (correo no deseado), con enlaces a sitios comprometidos, también es notorio. Muchos de esos mensajes son detectados como variantes del Nuwar.gen.

Algunos de estos correos electrónicos, en formato HTML, contienen el exploit en el propio mensaje. La acción del exploit puede ocurrir aún cuando se intente leer el mensaje como simple texto sin formato.

Esto se explica en nuestro artículo “Todo sobre la vulnerabilidad en cursores animados“, publicado en nuestro último boletín.

Por todas esas razones, subir nuestro nivel de alerta a nivel amarillo, nos parece necesario en este momento, para que los usuarios mantengan toda su atención en este problema.

Las precauciones posibles que pueden tomarse, e incluso una utilidad no oficial para minimizar el efecto del exploit, pueden ser encontradas en el artículo anteriormente mencionado.

Más información:

Todo sobre la vulnerabilidad en cursores animados
http://www.vsantivirus.com/vul-cve-2007-1765.htm

Relacionados:

Virus Reporte
http://www.vsantivirus.com/virusreporte.htm

Explicación de códigos de alertas
http://www.vsantivirus.com/codigos-alertas.htm

Fuente: VSAntivirus