Detectan el primer gusano que utiliza la vulnerabilidad de Microsoft MS06-040

Las Tecnologías TruPreventTM a través del análisis de su comportamiento, han detectado y bloqueado eficazmente a Oscarbot.KD (CME-482), el primer gusano que hace uso de la vulnerabilidad de Microsoft MS06-040 para infectar los sistemas, permitiendo a un atacante remoto realizar un gran número de acciones maliciosas en los ordenadores afectados.

Detectan el primer gusano que utiliza la vulnerabilidad de Microsoft MS06-040

Dado que dichas tecnologías detectan al gusano sin necesidad de conocerlo previamente, los clientes que disponen de ellas han estado protegidos desde el primer momento de la aparición de Oscarbot.KD.

A través de la red de mundial de sensores de las Tecnologías TruPreventTM repartidos entre los ordenadores de millones de usuarios que las tienen instaladas, PandaLabs ha detectado algunas incidencias causadas por este nuevo gusano, si bien no puede hablarse de una epidemia generalizada.

Según la información de PandaLabs, Oscarbot.KD busca ordenadores que presenten la vulnerabilidad MS06-040. En caso de encontrarlos, provoca un desbordamiento de búfer en el sistema, y ejecuta el código necesario para descargar una copia de sí mismo en el ordenador en un archivo que lleva por nombre wgareg.exe.  Sin embargo, Oscarbot.KD también puede propagarse utilizando el servicio de mensajería instantánea de AOL y a través de unidades compartidas.

Cuando el gusano se instala en el ordenador abre el puerto de comunicaciones 18067 y se conecta a determinados servidores de IRC. De esta manera, un hacker remoto puede comunicarse con Oscarbot.KD para descargar y ejecutar todo tipo de software en el ordenador afectado o lanzar ataques a otras máquinas, entre otras muchas acciones.

Además, el gusano crea un servicio en el sistema con el nombre wgareg o wgavm, que pretende simular un servicio de autenticación de software genuino de Windows. El nombre del servicio puede ser “Windows Genuine Advantage Registration Service” o “Windows Genuine Advantage Validation Monitor”. Los textos explicativos de dicho servicio son “Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability”, o bien “Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability”.

Por último, Oscarbot.KD modifica diversas claves en el registro de Windows con el objetivo de desactivar el firewall que incluyen algunas versiones de dicho sistema operativo.

“Era cuestión de días que apareciesen códigos maliciosos que aprovechasen la vulnerabilidad MS06-040. Sin embargo, en ningún caso debe bajarse la guardia, ya que es muy posible que sigan apareciendo nuevos ejemplares de malware que hagan uso de este problema de seguridad. Además de descargar e instalar el parche necesario para corregir este problema, es muy conveniente contar con un antivirus actualizado y, a ser posible, que incluya tecnologías proactivas como TruPreventTM Estas se han mostrado muy eficaces, ya que han detenido a Oscarbot.KD sin conocerlo con anterioridad proporcionando así una capa de defensa adicional a los antivirus tradicionales”, afirma Luis Corrons, director de PandaLabs.
 
Los clientes de Panda Software que aún no disponen de las Tecnologías TruPreventTM, tienen disponibles las actualizaciones para instalarlas junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Más información sobre las Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent

La vulnerabilidad MS06-040 de Microsoft afecta a las versiones 2003, XP y 2000 del sistema operativo Windows. La misma puede ser resuelta mediante la instalación de un parche que se encuentra disponible en la dirección http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-040-IT.mspx

Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp – la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en:
http://www.pandasoftware.es/partners/webmasters/

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs.asp/).

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

Lista de Resellers Certificados y Activos en Argentina:
www.pandaantivirus.com.ar/localesdeventa

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Panda ActiveScan TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática