Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Goga. Primer troyano en archivos .RTF de Word
 
VSantivirus No. 342 - Año 5 - Viernes 15 de junio de 2001

Nombre: Troj/Goga
Tipo: Caballo de Troya en archivo RTF
Alias: Goga, W97M/Goga, DUNpws.ik
Fecha: 14/jun/01
Origen: Rusia
Tamaño archivo .RTF: 41,355 bytes
Tamaño archivo .DOT: 28,160 bytes

Hace poco menos de un mes, se anunciaba una vulnerabilidad en Microsoft Word, que permitía que un documento en formato RTF (Rich Text Format) (1), que normalmente no puede contener macros (2), pudiera ejecutarlos a través de un enlace a una plantilla (3), sin avisar de ello (ver VSantivirus No. 320 - Año 5 - Jueves 24 de mayo de 2001, "
Documentos RTF pueden ejecutar macros sin advertencia").

Basándose en esta falla, se ha detectado un nuevo caballo de Troya capaz de vulnerar la seguridad de las computadoras conectadas a Internet.

El troyano "Goga", se presenta en tres partes. Un documento en formato .RTF, una plantilla de Word .DOT (ubicada en un servidor), y una aplicación encriptada en el código del documento.

El archivo .RTF utiliza la vulnerabilidad mencionada para descargar una plantilla maliciosa (.DOT), la cuál contiene los macros necesarios para activar el troyano.

Para funcionar, se requiere tener instalado Word 97 o una versión superior, sin los parches que corrigen la vulnerabilidad mencionada antes.

El documento .RTF es el que debe llegar de algún modo a nuestra computadora, para que cuando este documento sea abierto con Word, se active el enlace a la plantilla, ubicada en un sitio remoto (en este caso, un Web en Rusia).

La plantilla contiene las instrucciones para desencriptar la aplicación contenida en el archivo .RTF y guardarla en un archivo de 19,456 bytes:

C:\S.EXE

También se genera un archivo de proceso por lotes de DOS (C:\S.BAT) para completar la acción del troyano.

El archivo C:\S.EXE es un robador de contraseñas de la información de los Accesos telefónicos a redes (DUN). El troyano puede grabar la información obtenida en este archivo:

C:\S.BMP

El código del macro de la plantilla (.DOT), ubicada en el sitio remoto, recibe y publica luego esta información (nombre de usuario, nombre de proveedor, contraseña de acceso, etc.), en un libro de visitas en su página, el cuál está abierto para el público en general. Cualquiera podría escoger y tomar de allí la información robada para su uso, con el consiguiente perjuicio económico para el dueño de la cuenta robada.

Luego que el troyano hace su trabajo, todos los archivos usados (C:\S.*), son borrados.

Kaspersky Lab, ha reportado este troyano como activo, al haber recibido varios informes sobre su presencia.

Si la computadora atacada, posee los parches que se mencionan en el artículo sobre esta vulnerabilidad de Word, la acción del troyano no podrá llevarse a cabo.

Algunos informes indican que en el sitio mencionado, solo fueron encontrados unos pocos registros, antes de ser cerrado. A pesar de ello, se han reportado varias incidencias.

También es necesario hacer notar que aunque esta versión no posee ninguna característica para propagarse por si sola, la posibilidad de utilizar esta brecha de seguridad, es algo que muchos escritores de virus sin dudas querrán explotar en el futuro.

Utilizando un macro grabado en cualquier plantilla de otra computadora (un sitio), un troyano puede engañar a Word para permitir la ejecución de otros macros, con código potencialmente más peligrosos.

Aunque "Goga" no es ni gusano ni virus (no se propaga por si solo, ni infecta), es una advertencia para que desconfiemos de cualquier archivo abierto mientras estamos conectados a Internet.

Además de las clásicas recomendaciones para no abrir archivos no solicitados, ni ejecutarlos sin revisarlos antes con dos o más antivirus al día, es importante el uso de un software que pueda actuar de cortafuego, y que evite la acción de un troyano o cualquier otro tipo de ataque o transferencia no autorizada desde y hacia Internet.

Sugerimos para ello, la nueva versión del ZoneAlarm (gratuito para su uso personal), que además de ser un excelente cortafuegos que protege nuestro PC de intrusos externos e internos, también impide la ejecución de cualquier adjunto potencialmente peligroso.

Zone Alarm puede ser bajado de nuestro sitio, si se dirige al área "Otro software". También encontrará allí las instrucciones para instalarlo y configurarlo fácilmente (ver VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, "
Zone Alarm - El botón rojo que desconecta su PC de la red").

Información complementaria:

VSantivirus No. 320 - 24/may/01
Documentos RTF pueden ejecutar macros sin advertencia

Parches para Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wd2kmsec.aspx

Parches para Microsoft Word 97:
http://office.microsoft.com/downloads/9798/wd97mcrs.aspx

Parches para otras versiones:
http://www.microsoft.com/technet/security/bulletin/MS01-028.asp

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red

Glosario:

(1) RTF (Rich Text Format) - Se trata de una especificación de documentos que permite interpretar texto estructurado (con formato y gráficos), soportada por varios procesadores de texto en plataformas diferentes. Un RTF no puede contener macros.

(2) MACRO - Básicamente es un pequeño programa que automatiza cualquiera de aquellas tareas normalmente realizadas dentro de un sistema operativo o de una aplicación.

(3) PLANTILLA - Es un documento esquema, que puede servir de base para facilitar la creación de documentos similares (con la misma estructura y diseño). Una plantilla, como un documento normal , puede contener macros. La plantilla estándar de Word se llama NORMAL.DOT, y es uno de los blancos preferidos de los virus de macros, ya que todo nuevo documento se crea a partir de esa plantilla, incluyendo los macros y por ende los virus que estos pudieran contener.

Fuente: Kaspersky Labs, Network Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS