Apareció en los últimos días un nuevo código maligno orientado hacia los usuarios de Windows. Detectado por diversas empresas de seguridad, el virus llega por diversos medios: archivos adjuntos de mensajes electrónicos o a través de redes para compartir archivos, por ejemplo.
Según eEye, los asuntos de los correos que cargan con el archivo de Word adjunto son: "Notice" y "RE Plan for final agreement". Y el nombre de los archivos en sí: "NO.060517.doc.doc" y "PLANNINGREPORT5-16-2006.doc".
Panda informó la aparición de 1Table.A, un código malicioso que aprovecha una vulnerabilidad crítica recientemente descubierta en Microsoft Word, y que afecta a las versiones de MS Office 2003 y XP. Este problema de seguridad permite la ejecución de código en los sistemas afectados y, lo que es más peligroso, permite realizar códigos maliciosos indistinguibles a primera vista de cualquier archivo normal de Word.
Precisamente 1Table.A es, aparentemente, un archivo normal del conocido procesador de textos. No tiene capacidad para enviarse de modo automático, por lo que necesita de la intervención de un usuario malicioso para poder distribuirse. Esto le permite un gran campo de acción, ya que puede ser enviado como archivos adjuntos a mensajes de correo electrónico, o bien ser descargado a través de páginas web o redes para compartir archivos P2P, entre otros muchos sistemas.Según eEye, los asuntos de los correos que cargan con el archivo de Word adjunto son: "Notice" y "RE Plan for final agreement". Y el nombre de los archivos en sí: "NO.060517.doc.doc" y "PLANNINGREPORT5-16-2006.doc".
Panda informó la aparición de 1Table.A, un código malicioso que aprovecha una vulnerabilidad crítica recientemente descubierta en Microsoft Word, y que afecta a las versiones de MS Office 2003 y XP. Este problema de seguridad permite la ejecución de código en los sistemas afectados y, lo que es más peligroso, permite realizar códigos maliciosos indistinguibles a primera vista de cualquier archivo normal de Word.
En caso de que el usuario ejecute el archivo Word malicioso, 1Table.A aprovecha el mencionado problema de seguridad para liberar en el sistema un troyano backdoor llamado Gusi. Este crea una puerta trasera en el ordenador que permite a un atacante llevar a cabo multitud de acciones maliciosas de forma remota.
El conjunto de virus recibieron diversos nombres por parte de las empresas de seguridad, destacándose así Mdropper-H, Ginwui.A y Ginwui.B, variante detectada horas después y con cambios que no alteran su naturaleza.
De acuerdo a Vincent Weafer, director de Symantec Security Response, "esta amenaza comenzó en Asia pero no se infecta rápidamente porque parece estar destinada a organizaciones de gran envergadura".
Según Luis Corrons, director de PandaLabs: “Se trata de un problema de seguridad muy grave, ya que permite crear documentos de Word maliciosos que pueden ejecutar múltiples acciones en los ordenadores. Los ciberdelicuentes ya han visto el gran potencial de esta vulnerabilidad, por lo que sólo han sido necesarias unas cuantas horas para que hayamos visto los primeros códigos maliciosos que hacen uso de la misma, y casi con toda seguridad seguirán apareciendo otros nuevos a muy corto plazo”.
Infección
El virus se activa cuando el usuario abre el documento adjunto e inmediatamente muestra un mensaje de error y cierra automáticamente el Microsoft Word. El segundo paso es reemplazar el documento que estaba infectado por otro limpio.
El troyano está en condiciones entonces de hacer un reconocimiento exhaustivo de la computadora y conectarse luego con el hacker para decirle que está listo para actuar.
De acuerdo a Panda, hay que tener en cuenta que cualquier documento de MS Office, como hojas Excel o presentaciones de PowerPoint pueden llevar embebidos documentos de Word maliciosos, convirtiéndose así en peligrosos vectores de ataque.
Cómo evitarlo
Panda recomienda extremar las precauciones con los documentos de Word o MS Office recibidos, y contar siempre con una solución antivirus perfectamente actualizada instalada en el sistema.
Symantec calificó la amenaza como leve y pidió a los usuarios que eviten abrir adjuntos de correo electrónico desconocidos o inesperados y tener actualizado el software de seguridad.
Microsoft, por su lado, informó que está trabajando de manera exhaustiva para crear un parche de seguridad que elimine la vulnerabilidad. Esperan que esté listo para el próximo boletín de seguridad, que se espera salga el 13 de junio. Sin embargo, no descartan que puedan lanzar el parche antes de esa fecha.
Al mismo tiempo, en el centro de seguridad en línea de Microsoft, Windows Live Safety Center, habrá en pocas horas manera de detectar si una computadora está infectada o no con este virus.
No hay comentarios.:
Publicar un comentario