Una herramienta camufla amenazas en ficheros WMF.

La herramienta WMFMaker genera ficheros WMF maliciosos que tratan de explotar la vulnerabilidad no parcheada en sistemas Windows.

Una herramienta camufla amenazas en ficheros WMF.

- Gracias a esta herramienta, usuarios malintencionados podrían aprovechar la vulnerabilidad para distribuir cualquier código, sean troyanos, gusanos o cualquier otro tipo de malware.

- Las soluciones de seguridad de Panda Software detectan proactivamente todos los ficheros maliciosos generados por WMFMaker como Exploit/WMF.

PandaLabs ha detectado la distribución en la red de una herramienta, WMFMaker, que permite conformar ficheros WMF maliciosos a partir de cualquier otro código, lo que permite la introducción de malware en los sistemas de los usuarios, al aprovecharse de la vulnerabilidad crítica en el proceso de meta-archivos de Windows (WMF), aún no parcheada, y que afecta a todos los sistemas Windows.

Este kit de generación de ficheros WMF está preparado para ser utilizado desde la línea de comandos, incluyendo la ruta completa de la herramienta, y la del ejecutable que se desea incluir dentro del fichero WMF, y que será ejecutado en caso de aprovechar la vulnerabilidad. De este modo, se generará un fichero con extensión .wmf, y cuyo nombre varía entre “evil.wmf” o el propio nombre del ejecutable incluido en él.

“El descubrimiento de este kit podría explicar la rápida aparición de variantes de malware de muy distintas familias que explotan esta vulnerabilidad en los últimos días” afirma Luis Corrons, director de PandaLabs. “Si bien normalmente cualquier vulnerabilidad detectada en sistemas Windows es aprovechada con rapidez, la versatilidad de ésta y la enorme cantidad de sistemas potencialmente afectados la hacen mucho más interesante, de ahí la sorprendente creación de esta herramienta”.

Cabe recordar que esta vulnerabilidad podría permitir que el simple hecho de visitar una página web haga que el usuario se infecte, si ésta contiene un fichero WMF malicioso, lo que supone un punto de entrada para troyanos, gusanos y todo tipo de amenazas. La mencionada vulnerabilidad radica en el manejo que Windows hace de los archivos WMF (Windows Meta File), por lo que todas aquellas aplicaciones que puedan procesar este tipo de archivos se encuentran afectadas. Entre ellas pueden mencionarse Internet Explorer, Outlook y Windows Picture and Fax Viewer.

Para proteger sus equipos frente a esta amenaza, además de contar con soluciones antimalware capaces de bloquear los códigos que se aprovechen de esta vulnerabilidad, es recomendable des-registrar la DLL asociada con este ataque, según se indica en http://www.microsoft.com/technet/security/advisory/912840.mspx. Así mismo, y pese a que en líneas generales no es recomendable instalar parches que no provengan de la compañía responsable del producto, sería deseable instalar el parche facilitado por Ilfak Guilfanov, un prestigioso experto en sistemas Windows a bajo nivel, hasta que el original de Microsoft esté disponible. Dicho parche, probado y recomendado por SANS Internet Storm Center, puede ser encontrado en las siguientes URL: http://handlers.sans.org/tliston/wmffix_hexblog13.exe y http://www.hexblog.com/security/files/wmffix_hexblog13.exe.

Las soluciones de seguridad de Panda Software detectan proactivamente todos los ficheros maliciosos generados por WMFMaker como Exploit/WMF.  Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente – en: www.activescan.com.ar – la solución antimalware online Panda ActiveScan, que ahora también detecta spyware.  Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en: www.pandaantivirus.com.arwebmasters

Panda Software también pone a disposición de los usuarios Virus Alerts, boletín digital -en español e inglés- en el que notifica, de forma inmediata, la aparición de códigos maliciosos potencialmente peligrosos. Para recibir Virus Alerts sólo hay que visitar la web de Panda Software (http://www.pandasoftware.es/about/suscripciones/), y rellenar el formulario correspondiente.

Más información sobre la mencionada vulnerabilidad u otras amenazas informáticas en la Enciclopedia de Panda Software.

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en
www.pandasoftware.es/pandalabs.asp/).

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina
www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática