Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Sitios Web infectados, propagan el gusano Bofra
 
VSantivirus No. 1600 Año 8, martes 23 de noviembre de 2004

Sitios Web infectados, propagan el gusano Bofra
http://www.vsantivirus.com/23-11-04.htm

Por Angela Ruiz
angela@videosoft.net.uy


Según ha sido reportado este lunes, varios sitios web muy populares ubicados en Europa, pueden haber infectado con variantes del gusano Bofra a aquellos visitantes que han hecho clic en algunos de sus anuncios publicitarios.

Bofra, también identificado como una variante del Mydoom (ver "W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME", http://www.vsantivirus.com/bofra-h.htm), infecta equipos con Internet Explorer 6, bajo Windows XP con el Service Pack 1 y también Windows 2000, aprovechándose de un desbordamiento de búfer que permite la ejecución de código. El Service Pack 2 (SP2) de Windows XP no es vulnerable.

La advertencia fue emitida por el SANS (SysAdmin Audit Network Security). También el sitio británico de noticias The Register, informó que la compañía alemana Falk AG, que brinda servicios de publicación de banners publicitarios a terceros, se infectó con el Bofra, provocando la suspensión de dichos servicios por varias horas.

"Si usted visitó ese sitio, o uno de sus asociados, entre las 6 de la mañana y las 12.30 del mediodía del sábado 20 de noviembre, utilizando cualquiera de los productos vulnerables, le aconsejamos examinar su equipo con un antivirus actualizado, e instalar SP2 si está utilizando Windows XP", dijo The Register.

Según el SANS, habrían también informes de sitios en Suecia y los Países Bajos, que estarían infectados por el código de este gusano.

En los Países Bajos, el sitio de noticias más importante, NU.nl, con casi medio millón de visitantes al mes, fue infectado por el sistema de banners publicitarios de eSolutions de Falk AG, y también infectó a muchos de sus usuarios. Otros importantes sitios, incluyendo uno de los más grandes de Holanda, Startpagina, también distribuyó el gusano.

Las etiquetas de Adserver y las direcciones de conexión agregadas a los banners publicitarios, se manipularon para instalar y ejecutar el malware. Los pedidos del usuario se redireccionaron a su vez, de los servidores de Falk, al sitio "search.comedycentral.com", desde donde el código malicioso fue enviado, dijo la compañía Falk AG en una declaración.

Sin embargo, Falk negó que sus sistemas hayan sido comprometidos directamente por los piratas. Según su informe, un ataque al tráfico de su sitio Web, permitió que un nodo balanceador de carga esparciera el código. El balanceador de carga (o despachador de tareas) distribuye el tráfico interactivo entre varios hosts mediante reglas actualizadas dinámicamente para conseguir el equilibrado de la carga, al mismo tiempo que permite que el sistema del cliente perciba los diferentes sistemas como si se tratase de uno solo.

Un tráfico excesivo, redireccionó muchos pedidos hechos a los servidores de distribución de banners de Falk, a sitios Web comprometidos previamente, los que enviaron el código malicioso, dijo la compañía.

Por lo menos un experto de seguridad no está de acuerdo con esa explicación. Joe Stewart, investigador principal de LURHQ, una compañía proveedora de servicios de seguridad, piensa que, o bien los servicios de Falk fueron comprometidos por piratas informáticos, o estos encontraron otra forma para hacer que el código malicioso fuera distribuido por dicha compañía; por ejemplo incorporando el código a un aviso legítimo, y luego contratando los servicios de Falk para publicarlo "legalmente".

Todos los ataques hicieron uso de la misma vulnerabilidad en el Internet Explorer. La misma es causada por un error de límites en el manejo de ciertos atributos de las etiquetas FRAME e IFRAME en el código HTML, que explotado exitosamente, causa un desbordamiento de búfer y la posterior ejecución de código.

Estos ataques pueden realizarse a través del Internet Explorer, del Microsoft Outlook y del Outlook Express, sin que el usuario pueda tener alguna indicación de que sus equipos han sido comprometidos.

Los usuarios que utilizan SP2 en Windows XP, no son afectados. Microsoft no ha publicado parches para las versiones anteriores de su sistema operativo. Existen soluciones de terceros, no oficiales, que dicen cerrar este agujero. Sin embargo, muchos expertos advierten que instalar estos parches, podría hacer que el remedio llegara a ser peor que la enfermedad, ya que causaría inconsistencias en la instalación de futuros parches oficiales, o aun peor, podrían comprometer más seriamente la seguridad de los sistemas.

El golpe a los servicios de Falk AG, es muy similar en estilo, al ataque de junio de 2004, en donde aproximadamente 100 sitios Web fueron comprometidos manualmente por un grupo de piratas rusos llamado "hangUP team" (ver "Microsoft culpa a los piratas, sepa como proteger su PC", http://www.vsantivirus.com/ev-29-06-04.htm), realizado también con la intención de aprovecharse de vulnerabilidades conocidas del software de Microsoft.

Los usuarios que usan soluciones antivirus como NOD32, que implementa un módulo de análisis del tráfico HTTP (IMON), están protegidos ante este tipo de amenazas al acceder a páginas de Internet comprometidas por código malicioso, o al descargar archivos.


Relacionados:

Desbordamiento de búfer con etiqueta IFRAME en IE
http://www.vsantivirus.com/vul-ie-iframe-031104.htm

W32/Bofra.H. Se vale de la vulnerabilidad en IFRAME
http://www.vsantivirus.com/bofra-h.htm

Microsoft culpa a los piratas, sepa como proteger su PC
http://www.vsantivirus.com/ev-29-06-04.htm

Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm


Nota: Video Soft es la empresa creadora del sitio VSAntivirus, y representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS