Peligroso troyano que explota una vulnerabilidad en ficheros WMF de Windows

Diciembre 29, 05 by admin

Se ha detectado un exploit activo, que permite la ejecución de código malicioso por el simple hecho de visualizar un archivo con extensión WMF en un directorio de Windows con vista previa activada, o simplemente por visualizar una página web vía Internet. El mayor peligro es que no hay que hacer clic o alguna otra acción en ningún archivo para que se ejecute. Comenzó a ser enviado masivamente en un mensaje de correo electrónico durante hoy jueves.

El exploit se vale de una vulnerabilidad en el proceso de archivos de imágenes WMF (Windows Metafile), que puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo afectado, puede ser vulnerable a un ataque. De este modo, no solo los usuarios de Internet Explorer están involucrados, sino también quienes utilicen otros navegadores, tales como Firefox.

Aconsejamos precaución extrema a la hora de abrir adjuntos, páginas de Internet o carpetas compartidas por programas P2P que contengan archivos .WMF. Quienes usen un cortafuegos que detecte intentos de conexión desde el PC hacia el exterior, serán avisados del intento de conexión de un archivo a un determinado sitio Web, que en las primeras pruebas tenía el nombre de A.EXE (ello puede ser modificado por el autor en futuras versiones, y en este caso válido para el primer exploit detectado).

En este caso, el archivo A.EXE, de 6,641 bytes, puede copiarse en el escritorio de Windows y en la carpeta de archivos temporales de Windows, con los atributos de oculto.

En el caso de recibir esta alerta, se debe negar la conexión. Luego, desde el Administrador de tareas de Windows (CTRL+ALT+SUPR), buscar y eliminar el proceso llamado “a.exe”.

También se deben borrar los siguientes archivos:

  • c:windowsuniq
  • c:windowskl.exe

La vulnerabilidad afecta a todas las computadoras que ejecuten Windows XP (SP2 incluido) y Windows Server 2003 (SP1 incluido), incluso con todos los parches actuales instalados. 

Reiteramos, mucha precaución a la hora de navegar, no hacerlo por sitios no conocidos, y mantener al día los antivirus. Aún ahora no todos detectan el exploit o sus variantes.

Descripciones sobre los códigos maliciosos aquí listados pueden encontrarse en EnciclopediaVirus.com.

Add your comment

No responses for this post

  1. Raúl Says: 03.01.06 at 8:38

    http://www.hexblog.com/2005/12/wmf_vuln.html

    Aun así, se deberá instalar el parche oficial de Microsoft cuando sea publicado.

    Según el autor:

    The fix does not remove any functionality from the system, all pictures will continue to be visible

    El parche:
    http://www.hexblog.com/security/files/wmffix_hexblog13.exe
    o
    http://www.hexblog.com/security/files/wmffix_hexblog14.exe

    Aplicación que chequea si somos vulnerables o no:
    http://www.hexblog.com/security/files/wmf_checker_hexblog.exe

    (Vía Hispasec)

Leave a Reply