Ataques a la carta usando un documento de Word.

- El troyano Sikou.A podría haber sido diseñado a medida para llevar a cabo robos de información contra empresas.
– Con capacidad de actualización, ocultación, y ejecución de órdenes aleatorias, este troyano posee una enorme polivalencia.

Ataques a la carta usando un documento de Word.PandaLabs informa del reciente descubrimiento de un sorprendente troyano, Sikou.A, con una gran versatilidad y sofisticación, que utiliza un documento de Microsoft Word para propagarse. Este troyano utiliza una vulnerabilidad que permite la ejecución arbitraria de código en una gran cantidad de programas de la suite de ofimática Microsoft Office.

Este troyano ha sido encontrado en un documento de Word diseñado para aprovechar la vulnerabilidad MS03-037 detallada por Microsoft, que permite que el troyano que ejecute en el momento en que el usuario abra el documento. Una vez que se consigue la ejecución, Sikou.A comienza su instalación. Para ello, hace una copia de sí mismo en la carpeta del sistema, e instala dos ficheros, uno de los cuales contiene la funcionalidad del troyano. El otro es un driver que permite ocultar la actividad del troyano al usuario del sistema, lo que hace realmente complicada la detección de este malware.

Una vez en ejecución y ocultado, el troyano intenta acceder a un fichero de texto colgado de una URL de Internet, que contiene una segunda URL y un puerto donde deberá acceder en el siguiente paso. Este fichero puede ser actualizado periódicamente por el creador del malware, de modo que las localizaciones a las que el troyano accede varíen, y sea más complicado neutralizarlo.

Así, el troyano accede a dicha URL, donde se podrá bajar una actualización del fichero que le dota de funcionalidad. Debido a que accede periódicamente a ella, Sikou.A posee un gran potencial para variar su comportamiento, ya que basta que el creador cambie el fichero para modificar las capacidades de los troyanos distribuidos a voluntad.

Si la descarga de esta actualización tiene éxito, automáticamente procede a conectarse a una tercera URL, en la que recibe órdenes, que van desde el apagado del equipo, recopilación de información (financiera, o de otro tipo), o la descarga y ejecución de otros ficheros, entre otras. Esto último abre la posibilidad a la introducción en el equipo de todo tipo de malware, y especialmente spyware, que podría ser usado de modo auxiliar para la obtención de información del equipo afectado.

“Por su naturaleza de troyano -que debe ser distribuido manualmente-, por el medio de distribución, y debido a que utiliza para su infección una vulnerabilidad no demasiado novedosa”, afirma Luis Corrons, director de PandaLabs, “podríamos estar ante un tipo de malware diseñado ad-hoc para el robo de información en un equipo o entidad en concreto. Además, el uso de técnicas de ocultación, la capacidad de actualizar la funcionalidad, o la enorme polivalencia que le da la posibilidad de recibir órdenes, indican la intención del creador de que este malware permaneciera residente en el ordenador por mucho tiempo, llevando a cabo acciones de muy distinta naturaleza”.

Recientemente, se han registrado varios ataques a empresas para el robo de información por medio de troyanos u otro malware, como en el caso del ataque a empresas israelíes (actualmente en procesos judiciales). Además, la aparición de este tipo de malware, de funcionalidad muy personalizable, cada vez es más frecuente (como el caso del troyano Rona, recientemente), lo que impulsa la idea, cada vez más generalizada, de la búsqueda de beneficio económico por parte de los piratas informáticos.

Para evitar la entrada de Sikou.A o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.

Los clientes de Panda Software que aún no disponen de las Tecnologías TruPrevent, ya tienen disponibles las actualizaciones para instalarlas junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPreventTM Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent

Para la detección y desinfección gratuita de los ordenadores, los usuarios pueden utilizar el antivirus on-line Panda ActiveScan, disponible en www.activescan.com.ar


Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Más información sobre las Tecnologías TruPrevent en:
www.pandaantivirus.com.ar/truprevent

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Más información sobre las Tecnologías TruPrevent(TM) en:
www.pandaantivirus.com.ar/truprevent


Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática