Técnica de secuestro de DLL usa un error de Windows

1 2 3 4 5 6

Volver a listado de noticias

Últimas Noticias

Wikipedia estará fuera de línea en protesta por ley estadounidense 17-Ene-2012
Hackers difunden malware en sitios de juego para niños 17-Ene-2012
Protege tu cuenta de Facebook del último ataque de intrusión 17-Ene-2012
Revelan nombres de los desarrolladores de Koobface 17-Ene-2012

Técnica de secuestro de DLL usa un error de Windows

Softpedia 14-Oct-2011

En realidad el secuestro de archivos DLL no es nuevo, pero otra técnica ha sido descubierta por analistas de seguridad, hábilmente disfrazándose así misma junto a un texto.

Commtouch Café revela que la pieza de malware conocida como W32/Trojan2.NOXC se aprovechó de un error de Windows que permite a los componentes cargar bibliotecas externas de una manera determinada. Afortunadamente, una actualización de seguridad emitida por Microsoft en septiembre se hizo cargo de la vulnerabilidad y el elemento malicioso no tiene forma de operar.

Entonces, ¿cómo se produce esta infección-

Un inocente archivo DLL se ubica en una carpeta junto con un documento también de aspecto inocente. Mientras que el documento podría ser legítimo, el DLL a su lado, ciertamente no lo era. Una vez que el archivo txt o rtf se ejecuta, la librería maliciosa entra en acción.

La pieza de malware crea registros, tales como "%UserProfile%\Local Settings\ Ups.exe" y "% UserProfile%\Local Settings\cisvc.exe", que luego tratan de conectarse a una ubicación remota a través del puerto 433.

Para que el ataque funcione, los archivos necesitan ser colocados en un directorio que tenga la cadena "{42071714-76D4-11D1-8B24-00A0C9068FF3}" en el nombre.

Al hacer uso de la extensión Display Panning CPL, conocida como "deskpan.cpl", que normalmente se relaciona con la configuración de visualización de las imágenes que aparecen en la pantalla, el malévolo "deskpan.dll" también es lanzado.

El problema ya no debería de presentarse si ya se aplicó la actualización de Microsoft; pero debido a que el parche acaba de liberarse, asegúrese de que su sistema operativo está actualizado, de lo contrario el virus puede circular libremente en el dispositivo.

También busque carpetas que luzcan sospechosas, incluso si contienen elementos que parecen ser simples documentos o imágenes, porque pueden incorporar elementos que no sería conveniente que circulen.

Esto viene a demostrar que el malware no se produce necesariamente en la forma de un archivo EXE, nuevos métodos y técnicas permiten ocultar elementos maliciosos a las imágenes inofensivas, documentos de MS e incluso los archivos PDF.

Fuente: Softpedia AAD/JAG

Volver a listado de noticias