Un código de Día Cero se aprovecha de las fallas de Windows

Se trata de Troj_WMFCRASH.B, y desactiva el proceso Explorer.exe de la memoria de las PC. Impide a los usuarios navegar. Consejos para evitar riesgos en las computadoras.


Un nuevo código malicioso de los llamados de Día Cero atacó esta semana a los usuarios de Windows. El código sirvió para construir una serie de troyanos que explotan una vulnerabilidad no corregida aún y que afecta el Visor de Imágenes y Faxes de Windows.

TROJ_WMFCRASH.B es uno de los caballos de Troya que explotan el mencionado fallo de seguridad a través de un Metaarchivo de Windows con extensión .WMF, que desactiva el proceso EXPLORER.EXE de la memoria de las computadoras afectadas, con lo que el usuario resulta impedido de navegar en Internet. Finalizaba el año pasado, cuando fue identificada una nueva vulnerabilidad en Windows, ahora en el sistema de presentación de imágenes con formato Windows Metafile (WMF), es decir, en el Visor de Imágenes y Faxes de Windows. Al mismo tiempo, fue encontrado el código con el que es posible aprovechar esa vulnerabilidad para realizar actividades ilegítimas en las computadoras, informó la empresa de seguridad Trend Micro.

Estos descubrimientos, conocidos en el mundo de la informática como fallos del tipo “Día Cero”, suelen tomar desprevenido a los fabricantes del producto afectado, por que en el momento en que se hace público el agujero de seguridad, no tienen listo el parche correspondiente para solucionar el problema.

La vulnerabilidad en el visor de fotos y faxes de Windows ha dado origen hasta hoy al menos a dos familias de troyanos, conocidos como NASCENE y WMFCRASH.

La primera versión de familia WMFCRASH fue descubierta el 29 de diciembre pasado y a partir de esa fecha, han sido liberadas dos modalidades adicionales. TROJ_WMFCRASH.B se identificó el 9 de enero, con la aparentemente inofensiva apariencia de un archivo .WMF. En los primeros análisis del malware, se descubrió que al ser abierto por un usuario desprevenido, despliega un ataque de negación del servicio en las computadoras afectadas, consistente en la desactivación del programa EXPLORER.EXE, con lo que el usuario se ve imposibilitado de utilizar el Explorador de Internet para navegar.

La explotación de los fallos de seguridad de Windows ha recorrido una perversa secuencia, desde que los códigos maliciosos que los explotaban aparecían semanas y hasta meses después de que fueran corregidos los errores, hasta lo que es más común en la actualidad, en que los fallos son descubiertos por efecto del código que los explota.

Para reducir los riesgos de una infección por este troyano, Microsoft recomendó a sus usuarios desactivar momentáneamente del registro de Windows el Visor de Fotos y Faxes de Windows, mientras los investigadores de la compañía de las ventanas publican la solución del problema. Una forma de controlar los riesgos que implica esta vulnerabilidad, es elevar a ALTO el nivel de seguridad del Explorador de Internet. Para ello, es necesario que el usuario ingrese al Panel de Control de Windows, y abra la opción Opciones de Internet y en la pestaña de seguridad, deslizar el control hasta que marque una protección alta.

La aparición de estas familias de troyanos, pone de manifiesto la necesidad de que los usuarios de computadoras y las empresas, que cada vez más dependen de su tecnología y conectividad para operar óptimamente, cuenten con herramientas de protección antivirus que prevengan los ataques de este tipo e identifiquen proactivamente las amenazas de nueva creación.

Características

TROJ_WMFCRASH.B es un caballo de Troya, que consiste en un archivo .WMF (Windows Metafile) que toma ventaja de una vulnerabilidad no corregida, encontrada a finales del año pasado en el Visor de Imágenes y Faxes de Windows. Este Troyano corre en Windows XP y Server 2003 y actualmente se propaga en libertad.

La vulnerabilidad en el Visor de Imágenes y Faxes de Windows es un fallo de seguridad de los conocidos como “Día Cero". Esto abre vulnerabilidades en los sistemas por el sólo hecho de que el código malicioso ya está disponible y en circulación, mientras el fabricante aún no ha contado con el tiempo suficiente para corregir el fallo y hacer llegar la información a sus usuarios.

Una vez que se abre el archivo .WMF malicioso, éste procede a lanzar un ataque de negación del servicio, buscando reiniciar o terminar un proceso legítimo de la computadora llamado EXPLORER.EXE. Esta acción imposibilita al usuario afectado para navegar a través de Windows. Después de realizar esta rutina, el troyano finaliza su ejecución.

Fuente

SALUDOS