01
enero
2006

Más malware basado en vulnerabilidad WMF y parche no oficial

Microsoft, tenemos un problema
[Malware] 
Cualquiera diría que mi anterior entrada en el blog, aprovechando el payload de Happy99 para felicitar el nuevo año y recordando tener cuidado con las felicitaciones virtuales, era premonitoria. Pero la verdad es que no tiene ningún mérito, todos los años se repite la misma historia.


Tampoco hay excepción en 2006, pasadas 1 hora y media de las campanadas recibimos en VirusTotal la primera muestra de un nuevo malware de esas características. Esta vez el problema pinta peor, se trata de un nuevo exploit de la vulnerabilidad WMF que ha sido enviado de forma masiva, a modo de spam, y que se presenta bajo el nombre de "HappyNewYear.jpg".


Si, la extensión real es JPG, un formato que hasta la fecha cualquiera consideraría confiable. Pero la vulnerabilidad WMF pone en cuarentena cualquier formato gráfico, ahora ha sido JPG, mañana puede ser presentarse un exploit bajo GIF, BMP, etc.


En el momento de recibirse la primera muestra de "HappyNewYear.jpg" en VirusTotal, a las 1:30 del día 1 de enero de 2006, tan sólo una solución antivirus lo reconocía por firma basada en heurística. En esta ocasión los honores para Symantec que lo reconocía como Bloodhound.Exploit.56.


En el momento de escribir estas líneas, 23:50 del día 1, ya lo consiguen detectar:

AntiVir [EXP/IMG.WMF.A]
Avira [EXP/IMG.WMF.A]
BitDefender [Exploit.Win32.WMF-PFV]
ClamAV [Exploit.WMF.B]
eTrust-Iris [Win32/Worfo!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.IMGWMF.a]Fortinet
F-Prot [security risk or a "backdoor" program]
Kaspersky [Exploit.Win32.IMG-WMF.a]
McAfee [Exploit-WMF]
Sophos [Troj/DownLdr-QB]
Symantec [Backdoor.Bifrose]
TheHacker [Exploit/WMF]
VBA32 [Exploit.Win32.IMG-WMF.a]


El resto deben andar aún de resaca, cosas de la noche vieja.


Mientras seguimos esperando el parche de Microsoft, el reconocido Ilfak Guilfanov, desarrollador de uno de los desensambladores más populares (IDA), ha hecho el trabajo por su cuenta y ha publicado un parche no oficial que, hasta el momento, se ha mostrado muy eficaz y estable. Prueba de la reputación de esta solución es que F-Secure e ISC lo están recomendando.


Para rizar el rizo, Ilfak también ha publicado una utilidad que te indica si tu sistema está afectado o no por la vulnerabilidad WMF.


Pero mientras que Microsoft no publique el parche oficial, la gran mayoría de sistemas seguirán vulnerables (no todo el mundo muestra el interés que tú, que estás leyendo estas líneas). Y mientras que eso no ocurra, la cosa sólo puede empeorar. Como muestra, entre estos dos últimos días ya hemos recibido en VirusTotal una decena de variantes de JPG, y en las últimas horas hemos recibido 3 variantes del exploit con extensión GIF.

Enviado por bquintero a las 23:50 | Enlace permanente | Comentarios (1) | Trackbacks (1)
Comentarios
Re: Más malware basado en vulnerabilidad WMF y parche no oficial

Lo ideal es no usuar para trabajar o disfrutar de internet windows xp o el futuro vista que presenta los mismos problemas de seguridad
Windows=active x=malware=spyware+windows update cada dia por lo multiples agüjeros de seguridad que tiene, ya que es un s.o incompleto.
La politica de microsoft es vender algo medio terminado e ir arreglando al ritmo que salen los bug.
Para disfrutar de internet o relacionarse en el exterior lo sensato es usar alguna variante de linux o bien mac osx.

Posted by: Un lector at enero 02,2006 19:22
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/87/tbZ3ping
Reemplazando "nospam" por "com"
Sacándole las castañas del fuego a Microsoft

... que soluciona la vulnerabilidad de forma efectiva y para el cual incluye el código fuente. Bernardo Quintero de Hispasec hace eco de esta solución en el blog de esta empresa y apuntan que el parche parece adecuado hasta el punto de que el Internet Storm Centre de SANS está ...

Posted by: un lugar en el mundo... at enero 02,2006 08:48
Enviar un comentario