Nuevo virus/troyano informático

Sin embargo, en este caso esta acción oculta un exploit
que se aprovecha de un fallo en el Internet Explorer, y que lleva a la ejecución
de un código.

El código es un troyano del tipo proxy con puerta trasera ( Win32/Agent.CE ),
y permite que una vez ejecutado, un usuario remoto pueda utilizar nuestra máquina
como una lanzadera de correo spam. Sin embargo, el tipo de explotación de este
fallo, puede ser fácilmente modificado para que se pueda descargar y ejecutar
cualquier otra clase de código, lo que incluye cualquier tipo de virus o gusano
mucho más dañino.

Es importante que recordemos que jamás debemos hacer
clic sobre enlaces que aparezcan en mensajes no solicitados llegados a nuestro
buzón. Una de las razones es que fácilmente podrían ser
usados para ejecutar cualquier clase de código malicioso. Y este tipo
de fallo no es privativo del software de Microsoft. Otros navegadores y clientes
de correo también son afectados por algunos de los últimos exploits
detectados.

La otra razón de no responder o hacer clic sobre estos
enlaces, está en que generalmente esto no lleva a desuscribir nuestra
dirección de correo de la lista del spammer de turno, si no todo lo contrario.
Es como decir en letras mayúsculas AQUI ESTOY, Y MI DIRECCION ES VERDADERA,
para que pronto nos convirtamos en destinatarios de mucho más spam (y
mucho más del que nos imaginamos a medida que nuestra dirección
empiece a distribuirse a otros spammers).

La única medida práctica a tomar en el caso de
recibir correo no solicitado, tenga o no enlaces, es borrarlo de nuestro buzón,
sin siquiera intentar abrirlo.

Según alguna legislación norteamericana, adoptada
en parte por otros países, lo mínimo que se le exige a un correo
para que no sea considerado spam, es que tenga alguna opción para decidir
no recibir más mensajes. Aunque ya de por si es un disparate (los expertos
en leyes no estudian seguridad informática), ahora se suma que es muy
fácil convertir esa acción en el mejor camino para explotar una
vulnerabilidad y ejecutar un código no deseado.

El fallo en el procedimiento de «Drag and Drop»,
hecho publico en el mes de agosto, no tiene aún ningún parche
publicado por parte de Microsoft. La única solución es desactivar
el scripting de nuestro navegador.

Win32/Agent.CE

> CARACTERISTICAS
Si el usuario presiona el enlace pensando que dejará de recibir ese tipo
de correo no solicitado, no solo estará enviando su propia dirección
a los spammers, si no que además terminará recibiendo mas correo
no solicitado.
El enlace lo llevará a una página web con contenido malicioso
que pide ser desplazada para visualizarse.

Esta página se aprovecha de la vulnerabilidad del Internet
Explorer (Drag and Drop vulnerability), para la ejecución de un troyano
de acceso remoto por puerta trasera.

El troyano descargado (descrito mas abajo), puede ser cualquier
otro si el spammer modifica sus mensajes.

Win32/Agent.CE

Caballo de Troya que se ejecuta como servicio y como un proceso
normal.

Cuando se ejecuta intenta activarse como un servidor proxy,
de tal modo que cada equipo infectado puede convertirse en un repetidor de spam.

Una vez descargado, el troyano se copia a si mismo en la siguiente
ubicación con los atributos de sistema, oculto y solo lectura:

c:windowssystem32w32.exe

De acuerdo a la versión del sistema operativo, las carpetas «c:windows»
y «c:windowssystem32» pueden variar («c:winnt», «c:winntsystem32»,
«c:windowssystem»).

Cuando el archivo W32.EXE se ejecuta se realiza las siguientes acciones:

Crea un servicio llamado «Windows Service Application».

Modifica el registro para asegurarse que el servicio se ejecutará en
modo seguro y en modo seguro con conexión de red.

HKLMSYSTEMCurrentControlSetControl
SafeBootMinimalw32
(predeterminado) = Service

HKLMSYSTEMCurrentControlSetControl
SafeBootNetworkw32
(predeterminado) = Service

Para ejecutarse en cada inicio del sistema crea las siguientes claves en el
registro de Windows:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun
w32 = w32.exe

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices
w32 = w32.exe

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
w32 = w32.exe

Cambia el registro para que el proxy se ejecute como un programa normal en
el entorno actual del sistema, y más tarde en el entorno de cualquier
usuario.

Inicia su modo de operación normal como proxy. Para
ello el troyano queda a la escucha por el puerto TCP 9687 y otro seleccionado
al azar. Este segundo puerto es registrado con el sitio web «www.earthlabs.biz»
que lo controla para algún uso futuro.

Para no ejecutarse mas de una vez en memoria crea el siguiente mutex:

w32

> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro
del sistema.

5. Elimine bajo la columna «Nombre», la entrada «w32»,
en las siguientes claves del registro:

HKLMSoftwareMicrosoftWindows
CurrentVersionRun

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices

HKCUSoftwareMicrosoftWindows
CurrentVersionRun

6. Busque las siguientes claves y borre la clave «w32»:

HKLMSYSTEMCurrentControlSetControl
SafeBootMinimal

HKLMSYSTEMCurrentControlSetControl
SafeBootNetwork

7. Cierre el editor del Registro del sistema.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del troyano.

9. Instale los parches correspondientes:

MS04-018 Parche acumulativo para Outlook Express (823353)
http://www.microsoft.com/technet/security/bulletin/ms04-018.mspx

MS04-025 Actualización acumulativa para IE (867801)
http://www.microsoft.com/technet/security/Bulletin/MS04-025.mspx