Un troyano IRC/Bot, explota la vulnerabilidad MS06-040 (KB-921883) en el servicio Servidor de los sistemas operativos Windows 2000, XP y 2003, de la que ya alertábamos el sábado pasado en esta noticia. Insistimos en la obligatoriedad de actualizar el sistema operativo.A continuación trascribimos nota de prensa recibida de Eset (Nod32) sobre este tema.
Troyano aprovecha reciente vulnerabilidad en Windows –
Se descubrió hoy una nueva variante del troyano IRCBot que aprovecha una vulnerabilidad recientemente informada por Microsoft.
Ontinyent (Valencia), 13 de agosto de 2006 Eset, proveedor global de protección antivirus de última generación, informa hoy la aparición de un nuevo troyano, de la familia IRCBot,
propagándose a través de una vulnerabilidad recientemente informada por Microsoft.
Este troyano fue detectado automáticamente a través del motor heurístico ThreatSense, de
Eset NOD32, como una variante de Win32/IRCBot.OO, lo cual protegió proactivamente a los usuarios del producto en todo momento contra este código malicioso, al no precisar de una actualización para reconocer el nuevo malware.
Esta variante en particular intenta aprovecharse de una vulnerabilidad en el servicio Servidor de los sistemas operativos Windows 2000, XP y 2003, que fue reportada el 8 de
Agosto por Microsoft. Ese mismo día el parche para corregir el agujero de seguridad fue
publicado, pero de acuerdo a como se ha estado detectando este troyano, se nota una gran
cantidad de usuarios que aún no ha instalado la actualización de seguridad disponible en el
boletín de MS06-040:
http://www.microsoft.com/technet/security/bulletin/MS06-040.mspx
Al igual que la mayoría de las variantes de la familia IRCBot, el objetivo de este nuevo
ejemplar es la construcción de botnets, también conocidas como redes de equipos zombis. Una botnet es una red de computadores infectados por un malware y que puede ser administrada remotamente por el creador del código malicioso para realizar acciones colectivas como envío de correo no solicitado y/o ataques de denegación de servicio.
El nuevo código malicioso es muy similar al reportado en la primer semana de Julio,
propagándose a través del AOL Instant Messenger, con la particularidad de que además explota la vulnerabilidad antes mencionada.
Esta variante de IRCBot.OO se ubica actualmente en la posición número 33 de los códigos
maliciosos más de detectados en las últimas 24 horas, de acuerdo a nuestro sistema de alerta temprana ThreatSense.net, que ha contabilizado detecciones de más de 6000 malware distintos en ese lapso de tiempo.
Al instalarse en un equipo infectado, el troyano se almacena en un archivo de nombre
wgareg.exe, el cual se inicia como un servicio del sistema llamado; Windows Genuine
Advantage Registration Service;, que busca hacer creer al usuario que se trata de la
herramienta anti-piratería real de Microsoft.
Tras esto, el troyano puede ser utilizado para obtener información del equipo infectado,
además de lanzar ataques distribuidos de denegación de servicios, entre otras cosas.
Ante la gran cantidad de nuevos códigos maliciosos que aparecen a diario, es importante que los usuarios cuenten con una protección antivirus actualizada, que incluya capacidades de
detección proactiva, a fin de estar realmente prevenidos contra estas nuevas amenazas.
