Exploit/CodeBaseExec. Ejecución de código maliciosoNombre: Exploit/CodeBaseExec
Nombre NOD32: Exploit/CodeBaseExec
Tipo: Código malicioso
Alias: Codebase.gen, Exploit/Codebase.gen
Plataforma: Windows 32-bit
Tamaño: variable
Se trata de la detección de cualquier código capaz de explotar dos conocidas vulnerabilidades que afectan al Internet Explorer y al Outlook Express. Estas vulnerabilidades están corregidas en el parche MS03-032 de Microsoft (Actualización acumulativa para IE y posteriores actualizaciones acumulativas).
El código maligno puede incluirse en páginas HTML o mensajes electrónicos con formato HTML.
Vulnerabilidades que pueden ser explotadas por esta clase de código maligno:
Ejecución de una secuencia de comandos de caché del explorador en la zona Mi PC
Esta vulnerabilidad afecta al modelo de seguridad entre dominios de Internet Explorer, que normalmente impide que las ventanas de diferentes dominios compartan información. Este defecto podría permitir la ejecución de una secuencia de comandos en la zona Mi PC. Con el fin de aprovecharse de este defecto, un atacante tendría que crear en un sitio Web, una página diseñada para aprovechar esta vulnerabilidad, y a continuación, persuadir a su víctima a que visitara dicha página.
Cuando el usuario visite el sitio, el atacante podría ejecutar una secuencia de comandos malintencionada que podría permitir la carga de código en el contexto de la zona Mi PC de la víctima, incluso invocando cualquier ejecutable que ya estuviera presente en el sistema local, o visualizar los archivos de ese equipo.
Vulnerabilidad de etiquetas de objeto
Internet Explorer no puede determinar correctamente un tipo de objeto que se devuelve de un servidor Web. Un atacante podría utilizar este punto vulnerable para ejecutar código arbitrario en el sistema de un usuario.
Si un usuario visita el sitio Web del atacante, éste podría aprovechar esta vulnerabilidad sin necesidad de ninguna otra intervención de parte del usuario. Un atacante también podría diseñar un mensaje de correo electrónico en formato HTML para aprovecharse de esta vulnerabilidad.
Más información:
MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htmExisten múltiples ejemplos del uso malicioso de estas vulnerabilidades, siendo uno de los más recientes, la posibilidad de ejecución de código mediante los "skins" o pieles del programa Winamp.
Se recomienda la actualización correspondiente
Más información:
http://www.vsantivirus.com/exploit-codebaseexec.htmExploit/ObjectData. Intenta descargar y ejecutar código
Nombre: Exploit/ObjectDataTipo: Caballo de Troya
Alias: Exploit-ObjectData
Relacionados: CHM/Psyme.N, JS/Psyme.N, Troj/Agent.EK
Fecha: 29/ago/04
Plataforma: Windows 32-bit
Tamaño: varios
Se ha detectado el envío masivo por medio de spam, de mensajes con las siguientes características:
De: [dirección falsa]
Para: [dirección falsa]
CC: [varias direcciones]
Asunto: [alguno de los siguientes]
1.jpg
2.jpg
3.jpg
4.jpg
5.jpg
[etc...]
Texto:
[vacío]
Account update
Datos adjuntos: [uno de los siguientes]
1.gif
2.gif
3.gif
4.gif
5.gif
[etc...]
En ocasiones no existe archivo adjunto. Cuando existe, el archivo no contiene código malicioso (tampoco se trata en realidad de una imagen), y es totalmente inofensivo.
El cuerpo del mensaje puede parecer en blanco (si se tiene la vista en modo HTML), pero contiene el código para explotar una vulnerabilidad del Internet Explorer que permite la descarga de una página actualmente inaccesible.
El código en esta página remota contiene código malicioso, el cuál podría ser descargado y ejecutado en el equipo del usuario que visualizara el mensaje, siempre que su equipo no tuviera los parches de actualización al día.
Más información:
CHM/Psyme.N. Intenta descargar y ejecutar troyano
http://www.vsantivirus.com/chm-psyme-n.htmJS/Psyme.N. Descarga y ejecuta un troyano
http://www.vsantivirus.com/js-psyme-n.htmTroj/Agent.EK. Finaliza antivirus, descarga código
http://www.vsantivirus.com/troj-agent-ek.htmTenga en cuenta que este tipo de código podría ser utilizado para el envío y ejecución de cualquier otra clase de software maligno.
Las vulnerabilidades explotadas están descriptas en los siguientes boletines de Microsoft:
MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htmMS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htmSolución
Descargar los parches acumulativos de Internet Explorer y Outlook Express
Más información:
http://www.vsantivirus.com/exploit-objectdata.htm