| | ![]() | | HKTL_JPGDOWN.A (Bajo Riesgo) | ![]() |
| |
Trend Micro © Derechos Reservados | | | |
HKTL_JPGDOWN.A (Bajo Riesgo)
| Una herramienta de creación de componentes para atacar computadoras, crea imágenes JPEG para atacar.
| | |
![]() | | | | Robots asistentes personales aquí | |  | | | ![]() | | |
01-10-2004 | Trend Micro
HKTL_JPGDOWN.A es una herramienta de creación de componentes para atacar computadoras. Esta aplicación crea imágenes en formato JPEG (Joint Photographic Experts Group, un estándar de compresión para la transmisión de imágenes a través de Internet) que explota una vulnerabilidad de desbordamiento de memoria en Windows XP.
Esta vulnerabilidad consiste en una falla en el procesamiento de imágenes JPEG que podría permitir a un usuario remoto ejecutar código malicioso en la computadora infectada.
Cuando el usuario conectado a una máquina infectada posee privilegios de administrador, esta vulnerabilidad permite a un atacante tomar control absoluto de la computadora afectada y realizar acciones como la instalación de programas; ver, cambiar y borrar datos; así como crear cuentas nuevas con privilegios completos. HKTL_JPGDOWN.A se propaga libremente por Internet y corre en Windows 95, 98, ME, NT, 2000, y XP.
Detalles:
Para propagar la herramienta de hackeo, un atacante tiene diversas opciones, todas ellas dirigidas a convencer a un usuario a observar imágenes en el formato JPEG.
Estas imágenes pueden ser capturadas como parte de mensaje de correo electrónico HTML, o en una página Web. En todos los casos, la imagen debe desplegarse en la pantalla. Cuando el mensaje tiene las imágenes JPEG como archivo adjunto (por ejemplo, cuando el mensaje tiene formato de texto, no deben abrirse para evitar la ejecución de la herramienta.
Al ejecutarse, esta herramienta de hackeo despliega una caja de diálogo que muestra los botones “Make” y “About”, tal y como se observa en la siguiente ilustración de la nota.
Esa caja de diálogo significa que la herramienta ha descargado un troyano en la computadora, identificado por los productos de Trend Micro como EXPL_JPGDOWN.A. Este troyano copia y ejecuta en la computadora un archivo llamado M00.EXE, desde una dirección URL que se indica en la misma caja de diálogo (en el gráfico, la dirección no se muestra por seguridad).
Asimismo, HKTL_JPGDOWN.A descarga también de Internet otro archivo llamado MYPICTURE.JPG, que queda alojado en la carpeta desde la que se ejecutó la herramienta.
Una vez que terminó su ejecución, la herramienta despliega el siguiente mensaje: “El Servidor Jpeg ha sido creado bajo tus parámetros en el directorio actual.”
The Jpeg Server, has been created with your settings in the current directory."
En el código del gusano puede leerse el siguiente texto, que es, al mismo tiempo, explicación y firma del código malicioso:
JPEG Downloader V1.0
With this downloader you can create downloader server with *.jpg
extension.
Based on Buffer Overrun in JPEG Processing (GDI+) Could Allow
Code Execution (833987)
Using Generic win32 http download shellcode
Bug analized by eEye Digital Security (http://www.eeye.com)
Compilied 23/09/04
Copyright
2004 ProGroup Software, Inc.
Coded By ATmaCA
E-Mail:support@prohack.net
Web:http://www.prohack.net
HKTL_JPGDOWN.A es detectado y eliminado por el patrón de virus de Trend Micro número 2.180.00 ó superiores. Otros usuarios de Internet, pueden detectar este virus y miles de gusanos, troyanos y otros códigos maliciosos, usando HouseCall el rastreador de virus gratuito en línea de Trend Micro, al que se puede acceder desde: http://housecall.trendmicro.com/.
Para mayores detalles sobre los métodos para eliminar esta herramienta y el troyano asociado de sistemas infectados, por favor consulte la siguiente liga:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HKTL_JPGDOWN.A
| | |
|
| | | ![]() | | | Otros Artículos | ![]() |
|