W32/JPEGexploit.A. Exploit en imágenes JPEGNombre: W32/JPEGexploit.A
Nombre Nod32: Win32/JPEGexploit.A
Tipo: Exploit
Alias: JPEG.MS04-028.exploit, Win32/JPEGexploit.A, Bloodhound.Exploit.13, Exploit-MS04-028.demo, JPEG.MS04-028.Exploit.Trojan, Exploit.Win32.MS04-028.gen
Plataforma: Windows 32-bit
Tamaño: variable
Se trata de la detección de imágenes con formato JPEG, que intentan explotar la vulnerabilidad provocada por un desbordamiento de búfer en la librería GDI+, utilizada en severas aplicaciones y sistemas operativos de Microsoft, incluyendo entre otros, los siguientes productos:
- Internet Explorer 6 Service Pack 1
- Windows XP y Windows XP Service Pack 1
- Office 2003 (Outlook, Word, Excel, etc.)
- Office XP Service Pack 3 (Outlook, Word, Excel, etc.)
- Windows Server 2003
El fallo, permite la ejecución de archivos en forma remota.
Más información:
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htmRelacionados:
Herramienta para explotar vulnerabilidad JPEG
http://www.vsantivirus.com/ev-25-09-04.htmVirus en imágenes JPEG: Cuenta regresiva
http://www.vsantivirus.com/23-09-04.htm¡Peligro inminente de virus en imágenes JPEG!
http://www.vsantivirus.com/18-09-04-jpeg.htmInfectarse por ver una imagen ya no es un mito
http://www.vsantivirus.com/ev-15-09-04.htmMás información:
http://www.vsantivirus.com/jpegexploit-a.htmW32/StartPage.NBJ. Cambia página de inicio y búsquedaNombre: W32/StartPage.NBJ
Nombre Nod32: Win32/StartPage.NBJ
Tipo: Caballo de Troya
Alias: Startpage.NBJ, Win32/StartPage.NBJ, Trojan.Win32.StartPage.nu
Plataforma: Windows 32-bit
Tamaño: 5,584 bytes
Este troyano, modifica las páginas de inicio y de búsqueda del usuario infectado en el Internet Explorer. También crea accesos directos en la carpeta Favoritos a determinados sitios. Puede ser instalado por otro troyano o al visitar algunas páginas de Internet.
Al ejecutarse se copia en la carpeta del sistema de Windows:
c:\windows\system32\eplrr9.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Pueda crear o modificar algunas de las siguientes entradas:
HKCU\Software\Microsoft\Internet Explorer\Main
CustomizeSearch = [dirección del sitio]
Default_Page_URL = [dirección del sitio]
Default_Search_URL = [dirección del sitio]
Favorites = [dirección del sitio]
First Home Page = [dirección del sitio]
Local Page = [dirección del sitio]
Search Page = [dirección del sitio]
SearchAssistant = [dirección del sitio]
Start Page = [dirección del sitio]
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
CustomizeSearch = [dirección del sitio]
Default_Page_URL = [dirección del sitio]
Default_Search_URL = [dirección del sitio]
Favorites = [dirección del sitio]
First Home Page = [dirección del sitio]
Local Page = [dirección del sitio]
Search Page = [dirección del sitio]
SearchAssistant = [dirección del sitio]
Start Page = [dirección del sitio]
Donde [dirección del sitio] puede ser alguna de las siguientes:
http:/ /try-this-search .biz
http:/ /try-this-search .biz/ ie .html
Para ejecutarse como un objeto BHO, que se inserta en cada nueva instancia del Internet Explorer, el archivo EPLRR9.DLL es asignado a una clave CLSID del registro, seleccionada al azar. Ejemplos:
{086D4142-1472-4EF4-B95A-8053EA49E9AF}
{A3E057A8-65E7-40B5-8FC6-D7131C2F951F}
{8C5E73AD-1D36-4D52-A89C-DD733138D384}
[etc.]
Busca la carpeta de Favoritos, y crea accesos directos a los siguientes sitios y con los siguientes nombres:
TGP-Porno.url
http:/ /tgp-porno .net
TGP-Teen.url
http:/ /tgp-teen .net
MegaTOP.url
http:/ /megatop .biz
Más información:
http://www.vsantivirus.com/startpage-nbj.htm
