Una característica documentada de Apple QuickTime (denominada HREF Tracks), es la causa de la ejecución de código malicioso desde una página Web.

Recientemente se ha detectado un troyano que se vale de esta característica mediante una película de QuickTime oculta para descargarse. Se trata de un JavaScript que es ejecutado cuando se visita una página hospedada en MySpace.

MySpace es un sitio web de interacción social formado por perfiles personales de usuarios que incluye redes de amigos, grupos, blogs, fotos, vídeos y música, además de una red interna de mensajería que permite comunicarse a unos usuarios con otros (según Wikipedia). La versión en español, aún está en fase beta.

Una página de usuario de la versión en inglés de MySpace, que promociona a un grupo musical francés, utiliza esta posibilidad para ejecutar un script que obtiene información de los usuarios que visitan dicha página y enviarla a un servidor remoto (ESET NOD32 detecta este código como JS/SpaceStalk.A).

La acción se desarrolla de la siguiente manera:

1. El usuario visita la página Web y sin saberlo, se ejecuta una película QuickTime oculta.

2. La película descarga y ejecuta automáticamente el código JavaScript del troyano.

No es la primera vez que MySpace es utilizado para infectar a usuarios desprevenidos por medio de códigos maliciosos, utilizando diversas técnicas. En el pasado sus visitantes fueron afectados por spyware y otros malwares en más de una oportunidad. En diciembre, se utilizó esta misma característica de QuickTime para distribuir un troyano que robaba contraseñas de usuarios.

En este caso, se utiliza específicamente una vulnerabilidad en una característica de Apple QuickTime, documentada por el propio Apple como una funcionalidad.

Según Apple, un HREF Tracks agrega interactividad a una película de QuickTime. Los HREF Tracks contienen enlaces (URLs) que pueden especificar otras películas que reemplacen la actual, carguen otro marco, o ejecuten al propio reproductor QuickTime. También pueden especificar funciones en JavaScript, o páginas Web que carguen un FRAME o ventana específica del navegador.

Un HREF Tracks no necesariamente puede ser algo que deba ser visualizado, simplemente contiene información de conexión a un enlace. Los HREF Tracks pueden ser interactivos o automáticos. En el primer caso se cargan solo cuando se hace clic en el área de despliegue de la película. En el segundo, se ejecutan cuando la película es visualizada en un marco específico.

La idea de esta funcionalidad es crear presentaciones, o cualquier serie de acciones coordinadas con la visualización de la película, o cualquier cosa que se pueda lograr mediante comandos JavaScript.

Y allí es donde existe el verdadero peligro.

Apple QuickTime publicó específicamente una actualización a su reproductor en diciembre de 2006, que corrige la acción de esta funcionalidad para que no pueda ser ejecutado un código en ventanas o marcos de dominios diferentes (Cross-Site-Scripting).

Son afectadas las versiones 7.1.3 y anteriores.

____________________________________________________________-
Datos del Gusano


Nombre: SpaceStalk.A
Nombre NOD32: JS/SpaceStalk.A
Tipo: Caballo de Troya
Alias: SpaceStalk.A, JS/SpaceStalk.A, SpaceStalk, tys4.mov
Fecha: 20/mar/07
Plataforma: Windows 32-bit

Caballo de Troya en forma de código JavaScript, con la capacidad de enviar determinada información del equipo infectado, a un atacante remoto.

El script se descarga y ejecuta cuando se visualiza un archivo de película QuickTime (.MOV), utilizando una característica no segura de este formato, que permite la apertura automática de otros enlaces cuando la película es visualizada desde una página Web (HREF Tracks).

En este caso, el exploit descarga de un determinado sitio de Internet un JavaScript que se dedica a recoger información del usuario relacionado con el servicio MySpace (nombre de usuario, contraseña, preferencias, etc.)

Esta información es enviada a un servidor remoto.

Es importante tener presente que cómo el script descargado por el archivo de QuickTime puede ser modificado por el autor, en el futuro otras características podrían ser implementadas.

El exploit que permite la ejecución del código, funciona si la película QuickTime se encuentra embebida en una página Web o es previsualizada dentro del navegador.



http://www.vsantivirus.com/21-03-07.htm
http://www.vsantivirus.com/spacestalk-a.htm