Diario Tecnologico - Troyano aprovecha reciente vulnerabilidad en Windows

Se descubrió una nueva variante del troyano IRCBot que aprovecha una vulnerabilidad recientemente informada por Microsoft.

(DT, AGENCIAS) Eset, proveedor global de protección antivirus de última generación, informó hoy la aparición de un nuevo troyano, de la familia IRCBot, propagándose a través de una vulnerabilidad recientemente informada por Microsoft.

Este troyano fue detectado automáticamente a través del motor heurístico ThreatSense, de Eset NOD32, como una variante de Win32/IRCBot.OO, lo cual protegió proactivamente a los usuarios del producto en todo momento contra este código malicioso, al no precisar de una actualización para reconocer el nuevo malware .

Esta variante en particular intenta aprovecharse de una vulnerabilidad en el servicio Servidor de los sistemas operativos Windows 2000, XP y 2003, que fue reportada el 8 de Agosto por Microsoft. Ese mismo día el parche para corregir el agujero de seguridad fue publicado, pero de acuerdo a como se ha estado detectando este troyano, se nota una gran cantidad de usuarios que aún no ha instalado la actualización de seguridad disponible en el boletín de MS06-040:

http://www.microsoft.com /technet/security/bulletin /MS06-040.mspx

Al igual que la mayoría de las variantes de la familia IRCBot, el objetivo de este nuevo ejemplar es la construcción de botnets , también conocidas como redes de equipos zombis . Una botnet es una red de computadores infectados por un malware y que puede ser administrada remotamente por el creador del código malicioso para realizar acciones colectivas como envío de correo no solicitado y/o ataques de denegación de servicio.

El nuevo código malicioso es muy similar al reportado en la primer semana de Julio, propagándose a través del AOL Instant Messenger, con la particularidad de que además explota la vulnerabilidad antes mencionada.

Esta variante de IRCBot.OO se ubica actualmente en la posición número 33 de los códigos maliciosos más de detectados en las últimas 24 horas, de acuerdo a nuestro sistema de alerta temprana ThreatSense.net, que ha contabilizado detecciones de más de 6000 malware distintos en ese lapso de tiempo.

Al instalarse en un equipo infectado, el troyano se almacena en un archivo de nombre wgareg.exe, el cual se inicia como un servicio del sistema llamado “Windows Genuine Advantage Registration Service”, que busca hacer creer al usuario que se trata de la herramienta anti-piratería real de Microsoft.

Tras esto, el troyano puede ser utilizado para obtener información del equipo infectado, además de lanzar ataques distribuidos de denegación de servicios, entre otras cosas.

Ante la gran cantidad de nuevos códigos maliciosos que aparecen a diario, es importante que los usuarios cuenten con una protección antivirus actualizada, que incluya capacidades de detección proactiva, a fin de estar realmente prevenidos contra estas nuevas amenazas.