Troyanos en jpg
4 de Enero de 2010 | 
Autor:
Se utiliza la vulnerabilidad en la librería GDI+ usada por Microsoft para visualizar archivos JPEG en estos nuevos ataques de PHISHING (técnicas utilizadas para obtener información confidencial mediante engaños para suplantar remitentes o sitios legítimos)
El troyano no puede realizar su ataque a traves de Internet Explorer o Outlook, sino solamente con Explorador de Windows. Para ello el troyano debe persuadir y engañar al usuario, para que el mismo visualice la imagen como si fuera un archivo en una carpeta del sistema. Esto hace difícil su propagación, pero nos indica que los piratas informáticos continuamente experimentan técnicas para aprovechar la vulnerabilidad mencionada.
Cuando el usuario visualiza la imagen JPEG (en los primeros reportes, llamada DUCKY.JPG), el exploit descarga un archivo llamado LL.EXE o Y.EXE de un sitio llamado MAYBEYES.BIZ. Dicho archivo es grabado como DIVXENCODER.EXE en el directorio de Windows (normalmente C:\WINDOWS), o en la raíz de C:, y luego ejecutado.
Cuando se ejecuta, dicho archivo inyecta un DLL en el mismo proceso del Explorador de Windows (EXPLORER.EXE).
Una variante descarga un archivo llamado T2.EXE de una determinada dirección IP.
Luego de ello, el troyano inyectado en dicho proceso, intenta contactarse a diferentes sistemas de la misma red del proveedor como MAYBEYES.BIZ, y descarga de él una plantilla en forma de archivo XML. Este archivo describe el mensaje en forma de spam que utiliza las técnicas de phishing, que será enviado desde el sistema infectado, y las direcciones electrónicas a las que dicho mensaje será remitido.
El mensaje, simula ser enviado por Citibank y solicita al usuario confirmar sus datos personales “antes que su cuenta bancaria sea bloqueada”. El cuerpo del mensaje en si mismo no es un texto, sino una imagen con enlaces mapeados en ella.
Si el usuario hace clic en los enlaces indicados, es enviado a una página Web controlada por el atacante. La página muestra como fondo la página actual del Citibank para simular su legitimidad, y despliega sobre la misma una ventana emergente (pop-up), que lleva a enlaces que controla el atacante. Esta ventana emergente solicita la información de la cuenta bancaria de la víctima.
Podrían existir otros casos similares, utilizando otros blancos en lugar del Citibank, pero no está claro si el troyano es capaz de utilizar otros servidores cuando los anteriores son cerrados, o se requiere una compilación diferente cada vez.
Este tipo de ataque podría ser mejorado en el futuro.
Publicado en Virus
Un comentario para “Troyanos en jpg”
Deja un comentario
 |
 |
 |
Hola siento ponerte un comentario para ponerme en contacto contigo, pero no he encontrado la manera de ponerme en contacto con vosotros, soy el webmaster de http://www.musica7.com he visitado vuestra web http://www.pctoolsperu.com y me ha parecido de gran calidad para el usuario, sin molesta publicidad y con buen contenido. Por ello me gustaria realizar un intercambio manual con vuestra web, nuestra web tiene un buen nivel de pagerank (PR4) y visitas, e intentamos cuidar al maximo al usuario.
Es una web que lleva online desde el 2000, fue una de las primeras en letras de canciones.
Te agregariamos un enlace en nuestra pagina de paginas amigas, donde solo colocamos paginas que realmente consideramos que tienen calidad, ayudando a tu posicionamiento en google y mejorando asi el numero de visitas con este intercambio, creemos que asi nos beneficiamos ambas partes.
Esperamos vuestra respuesta, gracias por anticipado. un saludo