Hace unos días atrás, Microsoft alerto en su Boletín de Seguridad, sobre una vulnerabilidad 0 Day (es cuando una falla es descubierta y está siendo explotada antes que una solución para la misma exista a través de algún parche o actualización) en la interface del Explorador de Windows, la cual es aprovechada por un Malware.
El mismo, no necesita de la intervención del usuario para ejecutarse, basta solo que este ingrese a una carpeta con archivos LNK (accesos directos ), en el cual se aloja el malware para explotar la vulnerabilidad, y que este infecte el sistema.
La vulnerabilidad se encuentra en la forma en que el Windows Shell maneja los archivos LNK (accesos directos), y la misma es detectada por los productos de ESET como LNK/Autostart.A, el cual está relacionado con otro malware anterior llamado Win32/Stuxnet.A.
Se reproduce actualmente a través de dispositivos USB, con el objetivo de robar información, e incorpora algunas funcionalidades de rootkits para permanecer oculto, haciendo dificultosa su detección.
Si bien no existe un parche o actualización hasta el momento, que repare esta vulnerabilidad y que proteja a los sistemas del Malware en cuestión, se pide a los usuarios que mantengan actualizados sus Sistemas Operativos y las firmas de los antivirus, hasta que salga una solución por parte de Microsoft. Tambien lo que pude ver en la pagina del CERT, recomiendan desactivarla visualizacion de iconos de acceso directo, y desactivar la opcion de Autorun en las diferentes unidades.
Fuente: Ontinet
Eset
Cambios que realiza el Win32/Stuxnet.A:
Al ejecutarse crea las siguientes copias de sí mismo y se agrega como servicios con nombres de MRXCLS y MRXNET :
%System%\drivers\mrxcls.sys
(Trojan:WinNT/Stuxnet.A)
%System%\drivers\mrxnet.sys
(Trojan:WinNT/Stuxnet.B)
Crea las siguientes claves del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxCls\ "ImagePath"="%System%\
drivers\mrxcls.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxNet\ "ImagePath"="%System%\
drivers\mrxnet.sys"
Oculta los archivos eliminados mediante la modificación de los archivos
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
Crea los siguientes archivos de datos cifrados en C:\Windows\inf\
mdmcpq3.PNF, mdmeric3.pnf, oem6c.pnf, oem7a.pnf
Se inyecta en el proceso de iexplorer para eludir los firewalls.
Detiene los siguientes procesos de los antivirus mas conocidos:
VP.exe,Mcshield.exe,AvGuard.exe,bdagent.exe,
UmxCfg.exe,fsdfwd.exe,rtvscan.exe,ccSvcHst.exe,
ekrn.exe,tmpproxy.exe
Controla el acceso a los siguientes hosts remotos:
http://www.windowsupdate.com
http://www.es.MSN.com
http://www.mypremierfutbol.com
http://www.todaysfutbol.com
Se propaga por copias de sí mismo a unidades extraíbles, con los siguientes nombres de archivos:
%DriveLetter%\~WTR4132.tmp%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy de to.lnk de acceso directo
%DriveLetter%\Copy de to.lnk de copiar de acceso directo
%DriveLetter%\Copy de to.lnk de la copia de copiar acceso de directo
%DriveLetter%\Copy de to.lnk de la copia de la copia de copiar acceso de directo
Fuente: Zonavirus
No hay comentarios:
Publicar un comentario