Diario Tecnologico - Ataques a la carta usando un documento de Word

El Laboratorio de Panda Software, Panda Labs, advierte la aparición de Sikou.A, un troyano muy versátil y sofisticado, que usa un documento de Microsoft Word para propagarse.

PandaLabs informa del reciente descubrimiento de un sorprendente troyano, Sikou.A , con una gran versatilidad y sofisticación, que utiliza un documento de Microsoft Word para propagarse. Este troyano ocupa una vulnerabilidad que permite la ejecución arbitraria de código en una gran cantidad de programas de la suite de ofimática Microsoft Office.

Este troyano ha sido encontrado en un documento de Word diseñado para aprovechar la vulnerabilidad MS03-037 detallada por Microsoft, que permite que el troyano se ejecute en el momento en que el usuario abra el documento. Una vez que se consigue la ejecución, Sikou.A comienza su instalación. Para ello, hace una copia de sí mismo en la carpeta del sistema, e instala dos ficheros, uno de los cuales contiene la funcionalidad del troyano. El otro es un driver que permite ocultar la actividad del troyano al usuario del sistema, lo que hace realmente complicada la detección de este malware.

Una vez en ejecución y ocultado, el troyano intenta acceder a un fichero de texto colgado de una URL de Internet, que contiene una segunda URL y un puerto donde deberá acceder en el siguiente paso. Este fichero puede ser actualizado periódicamente por el creador del malware, de modo que las localizaciones a las que el troyano accede varíen, y sea más complicado neutralizarlo.

Así, el troyano accede a dicha URL, donde se podrá bajar una actualización del fichero que le dota de funcionalidad. Debido a que accede periódicamente a ella, Sikou.A posee un gran potencial para variar su comportamiento, ya que basta que el creador cambie el fichero para modificar las capacidades de los troyanos distribuidos a voluntad.

Si la descarga de esta actualización tiene éxito, automáticamente procede a conectarse a una tercera URL, en la que recibe órdenes, que van desde el apagado del equipo, recopilación de información (financiera, o de otro tipo), o la descarga y ejecución de otros ficheros, entre otras. Esto último abre la posibilidad a la introducción en el equipo de todo tipo de malware, y especialmente spyware , que podría ser usado de modo auxiliar para la obtención de información del equipo afectado.

“ Por su naturaleza de troyano -que debe ser distribuido manualmente-, por el medio de distribución, y debido a que utiliza para su infección una vulnerabilidad no demasiado novedosa ”, afirma Luis Corrons , director de PandaLabs , “ podríamos estar ante un tipo de malware diseñado ad-hoc para el robo de información en un equipo o entidad en concreto. Además, el uso de técnicas de ocultación, la capacidad de actualizar la funcionalidad, o la enorme polivalencia que le da la posibilidad de recibir órdenes, indican la intención del creador de que este malware permaneciera residente en el computador por mucho tiempo, llevando a cabo acciones de muy distinta naturaleza ”.

Recientemente, se han registrado varios ataques a empresas para el robo de información por medio de troyanos u otro malware, como en el caso del ataque a empresas israelíes (actualmente en procesos judiciales). Además, la aparición de este tipo de malware, de funcionalidad muy personalizable, cada vez es más frecuente (como el caso del troyano Rona , recientemente), lo que impulsa la idea, cada vez más generalizada, de la búsqueda de beneficio económico por parte de los piratas informáticos.

Para evitar la entrada de Sikou.A o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.

Enlaces relacionados
www.pandasoftware.cl