Virus disfrazados de cursores animados


iconos-petitLa revista especializada en seguridad informática «VSAntivirus» advierte sobre una nueva vulnerabilidad en el sistema operativo Windows que permite la infección del equipo a través de iconos animados.

El virus Win32/TrojanDownloader.Ani.G se esconde en el ordenador y se infiltra entre los archivos de formato «.ANI». La infección puede llegar cuando se visitan ciertas páginas construidas maliciosamente o bien cuando se reciben correos electrónicos que incorporan este tipo de ficheros.

Se han detectado exploits activos, que descargan y ejecutan diferentes troyanos desde Internet. Los exploits reportados hasta el momento, son interceptados por NOD32, e identificados como Win32/TrojanDownloader.Ani.G.

La vulnerabilidad afecta a todos los sistemas operativos de Microsoft y a los siguientes programas:

  • Windows XP Outlook Express
  • Windows Vista Mail
  • Microsoft Outlook 2003
  • Internet Explorer 6
  • Mozilla Firefox
  • Thunderbird

¿Como actua?

El exploit puede actuar en cualquiera de estos escenarios:

1. Al visualizar una página con un navegador (no solo Internet Explorer)

2. Al leer un correo electrónico

3. Al abrir una carpeta local con el explorador de Windows (configuración por defecto)

En los casos 1 y 2, puede ejecutarse un código malicioso, pero no en el caso 3, donde solo se produce una denegación de servicio (Windows deja de responder o entra en un bucle mostrando un mensaje de error una y otra vez).

En el primer escenario, el exploit puede actuar tanto al visualizar una página web utilizando Microsoft Internet Explorer como Mozilla Firefox (otros navegadores pueden estar también afectados). Según Microsoft, Internet Explorer 7.0 en modo protegido, no es afectado por el exploit, o al menos no puede ejecutarse el código embebido.

En el segundo escenario, aunque Microsoft aconsejó al comienzo como medida para mitigar los efectos del problema, leer el correo electrónico como texto sin formato, una lista publicada por el Internet Storm Center (ISC), del SANS Institute, muestra como la vulnerabilidad puede ser explotada en varios clientes de correo, a pesar de que el usuario tome esa precaución.

En concreto, el exploit puede ejecutarse al leer un correo en los siguientes programas y condiciones:

1. Al abrir un correo con la configuración por defecto (formato, etc.):

Son vulnerables:

– Windows XP Outlook Express
– Windows Vista Mail
– Microsoft Outlook 2003

2. Al leer un correo en el panel de vista previa:

Son vulnerables:

– Windows XP Outlook Express
– Windows Vista Mail
– Microsoft Outlook 2003

3. Al abrir un correo en formato solo texto:

Es vulnerable:

– Windows XP Outlook Express

4. Al responder o reenviar un correo, aún con la opción leer en formato solo texto activa:

Son vulnerables:

– Windows XP Outlook Express
– Windows Vista Mail

 

Leer el correo electrónico como texto sin formato si se utiliza Outlook 2002 o posterior, o Windows Mail, puede ayudar a protegerlo. Sin embargo, en Windows Mail (Windows Vista), aún al leer texto sin formato, el usuario no está protegido si responde o reenvía el mensaje recibido del atacante.

Leer el correo como texto sin formato en Outlook Express, no mitiga los intentos para explotar esta vulnerabilidad.

Otros clientes de correo como Thunderbird, también son vulnerables, aún cuando se utilice la lectura en texto plano, si se hace clic sobre los enlaces.

Según la información actualmente disponible, la vulnerabilidad no puede ser mitigada bloqueando la descarga de archivos .ANI, ya que incluso existen archivos renombrados (como .JPEG, etc.), que pueden igualmente ejecutar el exploit.

Además, es importante destacar que Windows Explorer (el Explorador de Windows), puede procesar archivos .ANI con diferentes extensiones, por ejemplo .CUR, .ICO, etc.

Finalmente destacamos que los usuarios de Outlook 2007 están protegidos, sin importar si se leen los mensajes como texto sin formato o no.