Nuevo Virus de Correo Electrónico que aprovecha vulnerabilidad ANI

Nombre de virus: Exploit-ANIFile.c
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por acceso a web maliciosa incluida en el correo.
Detección: desde DAT 5003
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

Como indicamos en la anterior nota informativa (4-4-2007), ya han aparecido los primeros códigos maliciosos que aprovechan la vulnerabilidad crítica relativa a ficheros ANI. Nos han informado varios usuarios que a través del correo electrónico han recibido un mensaje con remitente desconocido y alguno de los siguientes asuntos:

- ESPANA VIRUS TERRORISTA EN AGUA POTABLE

- Estimado usuario de Online Banking !

Estos mensajes no incorporan ningún fichero adjunto sino un texto con un enlace a una página web externa. Al acceder a esta página, en caso de encontrarse activa, puede causar la descarga de un fichero java que provoca la infección del equipo. Se trata de un Exploit para los ficheros ANI para lo que Microsoft ya publicó un parche tal como anunciamos la semana pasada.

Algunos de los enlaces URL que presentan estos mensajes son (se ha sustituido expresamente  el dominio original por <dominio>) :

http://<dominio>/yongsan/
http://<dominio>/cosmos/nbp_l/
http://<dominio>/ChloeStormi9690
http://<dominio>/SlaterEvelyn6037
http://<dominio>/NikkoEverest5111
http://<dominio>/LivvyyStoic7828
http://<dominio>/UlaRimbaud1552
http://<dominio>/PuertoHaroun0621
http://<dominio>/UgoLong2057
http://<dominio>/TrumpAnne2641
http://<dominio>/EalVelma4854
http://<dominio>/HelsinkiElsi3382
http://<dominio>/TraceyJanela8678
http://<dominio>/CoreenElinor0398
http://<dominio>/DanyelleBili1610
http://<dominio>/ZrNiko2227
http://<dominio>/CreoleDeni6887
http://<dominio>/AgataAlvin3148
http://<dominio>/CoyKirghiz5363
http://<dominio>/GaelanGizela9544
http://<dominio>/DanyelleBili1610 -
http://<dominio>/SelbyPickett0729
http://<dominio>/EdgardIzak9010
http://<dominio>/MurrayKelley3361
http://<dominio>/CrNeddy8022
http://<dominio>/ScroogeDuff4229
http://<dominio>/FordMerak2594
http://<dominio>/EzraMinolta3208
http://<dominio>/PasqualeCebu6024
http://<dominio>/LuannDadaism5431
http://<dominio>/TedraHumfrid6205
http://<dominio>/JenaBendick2349
http://<dominio>/PopekTeuton5904
http://<dominio>/MauryAmish0992
http://<dominio>/ArvFindlay7034
http://<dominio>/CoyKirghiz5363
http://<dominio>/TownesBooker5118
http://<dominio>/LuannDadaism5431
http://<dominio>/CbKaterina6331
http://<dominio>/AchebeCroat4422
http://<dominio>/PtDerk1912
http://<dominio>/MinnHudson2096
http://<dominio>/IowanAmparo8887
http://<dominio>/CeleGabonese6674
http://<dominio>/CherriElohim0920
http://<dominio>/KelvinBiddle2156
http://<dominio>/EdselDonovan3782
http://<dominio>/PattiEmmie1588
http://<dominio>/CamelOlav4390
http://<dominio>/AlidiaDamian2953
http://<dominio>/MurrayKelley3361
http://<dominio>/MameJuliette5811
http://<dominio>/DaliaAgretha3191
http://<dominio>/AstorMoore4192
http://<dominio>/DeityEgon9137
http://<dominio>/JeepKelli9370
http://<dominio>/BryantyOmsk0972
http://<dominio>/SeanaMessrs2609

Por la forma en la que se presentan, parece que hay un robot generando estos espacios web maliciosos, por lo que seguramente existen más URLs.

El acceder a estos sitios causa que se descargue un fichero java (statistic.jar) que a su vez trata de copiar ficheros en el sistema y ejecutarlos. Estos sitios web muestran una página con el mensaje Internal Server Error, para que el usuario piense que se trata de un error del servidor, cuando en realidad, a través de un iFrame oculto, se intenta ejecutar el código malicioso.

Recordamos que es muy importante no hacer caso de mensajes de remitentes desconocidos y no acceder a sitios web de los correos, pues pueden estar programados de forma maliciosa para infectar el equipo. Igualmente, conviene aplicar todos los parches críticos de seguridad de Microsoft (vía WindowsUpdate) para tener los sistemas al día.

SATINFO, VIRUSCAN SPAIN SERVICE   11 de Abril de 2007

Anterior