jueves, 20 de julio de 2006

Virus en la red - Trojan.PPDropper.B

Cuidado con los ppt....

El día 17 de Julio, Microsoft como todos los meses publicó las vulnerabilidades y los fixes que solucionan las mismas. Ni lentos ni perezosos, los "intrusos" o hackers, como quieran llamarle, han confeccionado un virus que aprovecha una de las vulnerabilidades en menos de tres días. Las empresas de antivirus están trabajando en el troyano para detectarlo y removerlo.
Una vez más queda demostrado que los virus surgen cuando se da a conocer algún problema de seguridad o vulnerabilidad por parte del fabricante y no antes.

El boletín de Ms : Microsoft Security Advisory (922970)


Vulnerability in PowerPoint Could Allow Remote Code Execution
Published: July 17, 2006


Microsoft is investigating new public reports of limited “zero-day” attacks using a vulnerability in Microsoft PowerPoint 2000, Microsoft PowerPoint 2002 and Microsoft PowerPoint 2003. In order for this attack to be carried out, a user must first open a malicious PowerPoint document attached to an e-mail or otherwise provided to them by an attacker. Microsoft will continue to investigate the public reports to help provide additional guidance for customers as necessary.
Microsoft is completing development of a security update for Microsoft PowerPoint that addresses this vulnerability. The security update is now being finalized through testing to ensure quality and application compatibility and is on schedule to be released as part of the August security updates on August 8, 2006, or sooner as warranted.
Microsoft is concerned that new reports of a vulnerability in PowerPoint were not disclosed responsibly, potentially putting computer users at risk. We continue to encourage responsible disclosure of vulnerabilities. We believe the commonly accepted practice of reporting vulnerabilities directly to a vendor serves everyone's best interests. This practice helps to ensure that customers receive comprehensive, high-quality updates for security vulnerabilities without exposure to malicious attackers while the update is being developed.

El virus : Trojan.PPDropper.B

Los correos vienen con el formato siguiente:

De: [nombre]@gmail.comPara:
Undisclosed-Recipient:;
Asunto: [caracteres chinos]Datos adjuntos: [caracteres chinos].ppt

Symantec bautizó este troyano como troyano Trojan.PPDropper.B y al abrirlo viene un archivo con extensión ppt con situaciones cómicas sobre hombres y mujeres. Mientras el ppt está abierto instala un troyano que es el Backdoor.Bifrose.E.
Este troyano es un keylogger que luego envía info a los atacantes.

Qué Hacer:
1) Usuario final u hogareño : Si conoce de tecnología, actualizar el antivirus y el S.O. instalando el Fix correspondiente. En el caso de desconocer, evitar abrir o bajar cualquier ppt que desconozca u cuyo remitente no sea válido y verificar que el antivirus esté instalado y actualizado.
2) Empresas: Filtrar a nivel de gateway el ingreso de ppt y chequear que los antivirus estén actualizados. Armar un plan para realizar un deploy adecuado de la actualización de Ms en las máquinas que crea conveniente. Le recordamos que las GPO son herramientas muy útiles para estos casos.

Esten atentos...
Saludos
Quique

1 comentario:

Ana dijo...

Muchas gracias Enrique por esta información. Yo suelo no abrir ningún documento en ppt... no confío para nada en las intenciones de esa clase de cómicas presentaciones. De todas formas tengo instalado el antivirus AVG que me va muy bien y confío mucho en él, pero más vale prevenir que curar y más con este tipo de virus...