Ejecución remota de código con GRPCONV.EXEGRPCONV.EXE es el conversor de grupos para el Administrador de programas de Windows.
Ha sido reportado un desbordamiento de búfer en este componente (buffer overflow), que puede provocar la ejecución arbitraria de archivos en forma remota.
El búfer es un área determinada en la memoria, usada por una aplicación para guardar ciertos datos necesarios para su funcionamiento. Esta área tiene un tamaño previamente definido en el programa, pero si se envían más bytes de los permitidos, la información sobrepasa los límites impuestos, cayendo en muchos casos sobre partes ejecutables del código principal. Un uso malintencionado de estos datos, puede hacer que esa parte contenga instrucciones preparadas para activar ciertas acciones no pensadas por el programador de la aplicación.
En el caso del GRPCONV.EXE, se produce por un error del programa al no validar correctamente el nombre de un archivo enviado como parámetro.
Un atacante podría crear un archivo malicioso y ofrecérselo a la víctima para explotar esta vulnerabilidad. En forma adicional se ha demostrado que la misma puede explotarse utilizando otras vulnerabilidades, cuando un sitio web malicioso es visualizado por la víctima en ciertos navegadores (no solo Internet Explorer).
La explotación del fallo puede dificultarse, debido a que los parámetros deben almacenarse en formato Unicode. Este método utiliza dos bytes por cada carácter, en lugar de uno como el formato ASCII clásico.
El fallo afecta a los sistemas operativos Microsoft Windows NT, 2000 y XP.
No existen exploits conocidos de este fallo, y tampoco hay respuesta de Microsoft al mismo.
Más información:
http://www.vsantivirus.com/vul-grpconv.htmW32/Lovgate.AA. Se propaga por redes, e-mail, KaZaaNombre: W32/Lovgate.AA
Tipo: Gusano de Internet
Alias: Lovgate.AA, I-Worm/Lovgate.F, I-Worm.LovGate.f, Win32.LovGate.2.Gen@mm, Win32.HLLM.Lovgate.5, W32/Lovgate, BackDoor-AQJ, Worm.Lovgate.F, PWSteal.Trojan, Win32/Lovgate.AA, Worm Generic, WORM_LOVGATE.GEN, Backdoor:Win32/AQJ.B, Win32.Lovgate.Y, Win32/Lovgate.Y.Worm, Backdoor.AQJ.B, W32/Lovgate.ag@MM
Plataforma: Windows 32-bit
Tamaño: 183,296 bytes
Fecha: 9/jul/04
Puerto: TCP al azar
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Los mensajes infectados pueden tener adjuntos con extensiones .EXE, .PIF, .SCR o .ZIP. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
El gusano también intenta logearse como administrador si la cuenta no tiene contraseña.
Si obtiene éxito, se copia a si mismo como NETMANAGER.EXE en la siguiente ubicación:
\\[nombre computadora]\admin$\system32\netmanager.exe
También inicia un servicio llamado "Windows Management NetWork Service Extensions" que es mapeado como "NetManager.exe -exe_start".
El gusano utiliza un script para crear y ejecutar un componente FTP, el cuál explota la vulnerabilidad RPC/DCOM de Windows, para descargar una copia del propio gusano en otros equipos, en un archivo llamado HXDEF.EXE. El gusano se ejecuta automáticamente después que se ha descargado.
Intenta finalizar los procesos activos cuyos nombres contengan las siguientes cadenas:
Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Más información:
http://www.vsantivirus.com/lovgate-aa.htm
