Informe semanal de Panda software sobre virus e intrusos.

La semana que hoy finaliza ha estado marcada por los boletines de seguridad que Microsoft ofrece los segundos martes de cada mes.

Informe semanal de Panda software sobre virus e intrusos.

En ellos se ofrecen soluciones para diversos errores y vulnerabilidades de sus sistemas y aplicaciones.  Además, en este informe semanal nos centraremos en dos códigos maliciosos: Nedro.B y Haxdoor.NJ.

Los boletins de seguridad de Microsoft presentados son diez, y presentan niveles "críticos" (seis de los anunciados), "importante" (solo uno), "moderado" (dos) y "bajo" (uno):

* MS06-056: Corrige una vulnerabilidad (cross site scripting) en servidores con .Net Framework 2.0, y recibe una calificación de "moderado"

* MS06-057: Actualiza Windows Shell para evitar ejecución remota de código. Afecta a Windows 2000, XP y Server 2003. Su calificación es de "crítico".

* MS06-058: Calificado como "crítico", corrige cuatro vulnerabilidades distintas en PowerPoint, alcanzando el nivel de "crítico".

* MS06-059: También "crítico", soluciona cuatro vulnerabilidades en Microsoft Excel.

* MS06-060: Actualización para Microsoft Excel, nivel "Crítico".

* MS06-061: Contiene la actualización para dos vulnerabilidades de Microsoft XLM Core Services. Microsoft considera este boletín "Crítico". Se aplica a Windows 2000, XP y Server 2003.

* MS06-062: Actualización de vulnerabilidades en Microsoft Office. Afecta a Microsoft Office, Project y Visio. Considerado por Microsoft como "crítico".

* MS06-063: Se refiere a dos vulnerabilidades del servicio Servidor de Windows. Su calificación es "importante", y afecta a Windows 2000, Server 2003 y XP.

* MS06-064: Destinado a solucionar tres vulnerabilidades de denegación de servicio en los sistemas IPv6 de TCP/IP. Microsoft considera este boletín con importancia "baja", y debe aplicarse a sistemas Windows XP y Server 2003.

* MS06-065: Afecta a Windows XP y Server 2002, concretamente a "Windows Object Packager". Su importancia es "moderada".

El informe semanal continúa con el gusano W32/Nedro.B.worm, preparado para operar en los sistemas operativos Windows. Para propagarse, emplea IRC y el sistema de mensajería instantánea de Yahoo!.

Nedro.B lleva a cabo muchas acciones para pasar desapercibido al usuario y dificultar su detección y eliminación:

* Impide el acceso al registro de Windows.
* Modifica el sistema de forma que cada vez que se ejecute un fichero con extensión art, dat, avi, ini y pif se ejecute el código del gusano.
* Asigna el icono de Microsoft Word para que los ficheros scr (ejecutables de salva pantallas) tengan el icono de documento de texto, y no resulte sospechosa su apertura.
* Hace que las extensiones bat, com, exe y scr (todos ellos ficheros ejecutables y por tanto, potencialmente peligrosos) no sean mostradas en pantalla.
* Elimina del menú "Inicio" la opción "Ejecutar".
* Impide la exploración del disco duro a través del explorador de Windows.
* Finaliza numerosas aplicaciones de seguridad.

Con estas modificaciones, Nedro.B no solo facilita su ocultamiento, sino que deja en un estado peligroso al sistema ya que otros códigos maliciosos podrían introducirse en el ordenador aprovechando el estado precario del equipo.

Haxdoor.NJ es un backdoor que obtiene diferentes tipos de contraseñas del ordenador afectado, como son las de inicio de sesión y de los clientes de correo Outlook y The Bat. Además de estas contraseñas, Haxdoor.NJ intenta robar las que el usuario emplee para los sistemas eBay, e-gold y paypal. Una vez conseguidas, envía los datos recogidos al autor del código utilizando un rootkit detectado como Rootkit/Haxdoor.NJ.
 
Haxdoor.NJ no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Además, este rootkit abre tres puertos aleatorios para que su autor obtenga los datos que ha recogido.

Para propagarse, Haxdoor.NJ inyecta su código en el proceso de Windows explorer.exe, de manera que asegura su ejecución en cada arranque del sistema, y para evitar que el firewall de Windows XP SP2 le impida llevar a cabo su trabajo, en el momento de instalarse modifica la configuración del cortafuegos, de manera que se le considere una aplicación autorizada a saltarse el cortafuegos.

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

Resellers Certificados y Activos para comercializar en Argentina:
www.pandaantivirus.com.ar/distribuidores

Panda ActiveScan TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Certificación como Reseller Autorizado:
www.pandaantivirus.com.ar/resellers

Renovación de servicios monopuestos y corporativos:
www.pandaantivirus.com.ar/renovaciones

Registración Online de Productos/Servicios Panda Software:
www.pandaantivirus.com.ar/registraciononline

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática