Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Proteja su equipo antes que sea demasiado tarde
 
VSantivirus No. 1183 Año 7, Viernes 3 de octubre de 2003

Proteja su equipo antes que sea demasiado tarde
http://www.vsantivirus.com/ev02-10-03.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/


[Publicado con autorización de Enciclopedia Virus]

Una falla en el IE, no corregida, permite lanzar una ventana pop-up en la PC de la víctima, con la intención de obtener un beneficio económico para el atacante. Pero nada impide que mañana, se use el mismo procedimiento para ejecutar un código realmente peligroso.

Un código malicioso que explota una vulnerabilidad en Windows, comenzó a circular el miércoles en Internet, infectando una gran cantidad de equipos.

Aunque el código malicioso no es técnicamente un virus, los usuarios pueden infectarse a través de un banner del tipo pop-up (ventana emergente), cuando visitan las páginas de ciertos proveedores de hosting para Internet, dice Russ Cooper, editor de la lista NTBugTraq.

Los fabricantes de antivirus clasificaron el código maligno como un caballo de Troya, el cuál es detectado como "QHosts-1". Infecta computadoras con Windows 2000 y XP, explotando la vulnerabilidad en Internet Explorer publicada por Microsoft en agosto, pero que el parche emitido en esa oportunidad no corrige.

La falla, conocida como "Object Type Vulnerability", está relacionada con el manejo incorrecto de las etiquetas de objeto, y fue descripta en el boletín MS03-032. Se basa en la forma como las versiones más actuales del Internet Explorer manejan un código HTA insertado en las etiquetas OBJECT. Esto permite a un atacante ejecutar código a su elección en las computadoras con el software vulnerable.

En este caso, se utiliza la falla para lanzar una ventana pop-up en la PC de la víctima, presumiblemente con la intención de obtener cierta ganancia con los programas que agregan créditos por cada clic a ciertos avisos comerciales. Pero nada impide que en el futuro, se use el mismo procedimiento para ejecutar un código realmente peligroso en la máquina vulnerable.

Desde que Microsoft publicó el parche el 20 de agosto, diversos expertos anunciaron que la falla no estaba totalmente corregida. Más de un mes después, la compañía no ha publicado aún ninguna actualización para corregir totalmente esta vulnerabilidad.

El CERT Coordination Center, que mantiene un seguimiento de los ataques producidos por este agujero, anunciaron esta semana un aumento de los mismos, pero no se refirieron en ese momento al troyano QHosts, salvo la referencia a la modificación de la configuración DNS de algunas máquinas bajo Windows 2000 y XP.

DNS (Domain Name System), o Sistema de Nombres de Dominio, es el sistema que traduce un nombre de dominio (www.nombre.com) a una dirección IP, un número como 223.151.123.76 (este es un ejemplo ficticio), y de esta forma, se localiza el servidor donde reside un sitio Web.

El troyano configura el registro de Windows y el archivo "hosts" usado para resolver los números IP. "HOSTS" es un archivo en formato texto, sin extensión, ubicado en la carpeta "windows\" o "windows\system32\drivers\etc\", dependiendo de la versión de Windows, que en caso de estar presente, es utilizado por el sistema operativo para asociar nombres de dominio con direcciones IP.

Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. En este caso, el troyano lo usa para redireccionar la navegación desde las máquinas infectadas , a un sitio controlado por el atacante, cada vez que la víctima intenta realizar alguna búsqueda en Internet.

Además, el troyano modifica a la computadora atacada, para que todos sus servicios DNS sean obtenidos de los servidores propios (EV1.NET). Esto puede ocasionar que algunas aplicaciones que dependen de un DNS local, dejen de funcionar apropiadamente.

El mecanismo de infección del QHosts actúa a partir de un banner deliberadamente desplegado como publicidad contratada, por el sitio de hospedaje gratuito FortuneCity.com, pero el aviso y el código malicioso se encuentran en realidad en las máquinas de ev1.net.

FortuneCity.com no hizo ningún comentario a la prensa. El proveedor de hosting pago, Everyone's Internet Inc, ubicado en Texas, Estados Unidos, el dueño del dominio ev1.net, dijo que había localizado la cuenta del usuario dándola de baja, acabando así con la fuente del problema.

Jeff Lowenberg, vice presidente de operaciones de EV1, dijo a la prensa que los servidores cuestionados enviaban publicidad a las máquinas infectadas, para finalmente redireccionarlas a los sitios de búsqueda previstos.

EV1 es un sitio que ofrece el mecanismo para que sus clientes ofrezcan banners publicitarios a terceros. El departamento de abusos de EV1 fue contactado al comenzar el problema, y luego de una rápida investigación, la cuenta del usuario que lo provocaba (un anunciador), fue finalizada y su servidor desconectado. Lowenberg dijo que dicha cuenta había sido abierta recientemente (setiembre de 2003).

De todos modos, es importante hacer notar que nada impide que hechos similares vuelvan a presentarse, o que surja un código realmente maligno que se aproveche de esta falla.

Una solución alternativa para proteger nuestros equipos antes que ocurra, y mientras no exista un parche que realmente lo solucione, es desactivar los controles ActiveX en el Internet Explorer.

Para deshabilitar Active Scripting y los controles ActiveX, seleccione Opciones de Internet, Seguridad, Internet, Personalizar nivel, y marque la casilla "Desactivar" en todas las opciones de Automatización y Controles y complementos de ActiveX. Recuerde que a partir de ello, muchas facilidades y opciones disponibles al visualizar algunos sitios desaparecerán o darán error.

También se sugiere quitar del registro la asociación con la etiqueta "application/hta", borrando la carpeta con ese nombre de la siguiente clave:

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MIME
\Database\Content Type\application/hta

Finalmente, se recomienda también utilizar un cortafuegos diferente al que proporciona Windows XP, para impedir el acceso a Internet del proceso iniciado por el host para archivos HTA (mshta.exe).

Y recuerde que no solo el Internet Explorer es vulnerable, sino también cualquier programa que haga uso del control WebBrowser de ActiveX, o del visor HTML (MSHTML).


(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=303



Relacionados:

MS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htm


Troj/VBS.Qhosts. Redirecciona sitios y cambia DNS
http://www.vsantivirus.com/qhosts.htm

Nuevos ataques producen cambios en la configuración DNS
http://www.vsantivirus.com/02-10-03.htm

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

Crecen ataques usando fallas que parche de IE no corrige
http://www.vsantivirus.com/30-09-03.htm

Parche crítico del Internet Explorer no funciona
http://www.vsantivirus.com/ev09-09-03.htm

Falla crítica en el Internet Explorer y como protegernos
http://www.vsantivirus.com/10-09-03.htm

MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htm

Troj/Backdoor.Coreflood. Infecta desde páginas Web
http://www.vsantivirus.com/back-coreflood.htm

Troj/JunkSurf.B. Infecta con solo ver un HTML
http://www.vsantivirus.com/junksurf-b.htm

Troj/JunkSurf.A. Infecta con solo ver un HTML
http://www.vsantivirus.com/junksurf-a.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS