i-Defense ha detectado una nueva alerta posterior a la NOTICIA publicada más abajo.
1.- iDefense ha confirmado la aparición de un nuevo ANI activo en el ciberespacio. Múltiples dominios se están redireccionando a dos diferentes servidores. Hasta el momento NO hay código de vector de archivos o de e-mail conocidos.
Se están investigando las posibilidades de e-mail. iDefense ha probado que, con pocas modificaciones, es posible la ejecución del archivo en Windows Execution.
2.- Windows XP SP2 es vulnerable, mientras que SPO y SP1 no lo son, con IE 6 & 7.
3.- Los ataques actualmente apuntan a websites establecidas en China y a hackers conocidos por haber protagonizado anteriores ataques de códigos maliciosos. La instalación de troyanos y códigos similares se utiliza actualmente como carga explosiva para ataques en el ciberespacio.
NOTICIA
Madrid – 30 de marzo de 2007 – VeriSign avisa de la aparición en la Red de un nuevo programa malicioso y que, de momento, ha sido responsable de ataques limitados o dirigidos a objetivos específicos. iDefense está analizando toda los archivos disponibles atacados así como las cargas explosivas para aclarar preguntas tales como qué partes de los equipos son vulnerables a este virus, el impacto de las cargas explosivas…
Los primeros datos obtenidos sugieren que se trata de un ataque limitado vía e-mail, que contiene un archivo hostil ANI y que probablemente venga en formato jpg. Cuando se introduce en Windows XP SP2 con IE 6/7 se produce una instalación silenciosa del código desde un sitio web remoto que contiene código malicioso.
Consideraciones:
1. Un nuevo cursor animado (ANI) en el día de ataque cero ha pasado a ser de conocimiento público el 29 de Marzo de 2007.
2. Los ataques hasta la fecha parecen ser limitados y muy probablemente se han realizado a través del correo electrónico, de manera que se ha podido instalar un troyano de forma silenciosa.
3. El nuevo código malicioso ANI tiene un potencial significativo, y recuerda a muchos profesionales de la seguridad a los anteriores ataques de WMF que se produjeron durante 2005/06. Afortunadamente, en el momento de escribir este comunicado NO existe código malicioso público ni herramientas de automatización.
4. Las recomendaciones sobre cómo mitigar los efectos de este nuevo programa malicioso no se han demostrado en la fecha en la que se ha emitido esta alerta. Los datos no confirmados sugieren que la configuración de correo de los clientes en formato de “texto simple” puede ayudar a mitigar el vector primario de los ataques iniciales pero no la vulnerabilidad en sí misma. Además, puede llegar a necesitarse el bloqueo de todos los correos electrónicos con archivos adjuntos para atrapar con éxito archivos ANI que se hayan podido camuflar entre otro tipo de ficheros, tales como JPEG.
Links:
Microsoft McAfee Trend CERT SANS
Background on ANI 
Internet 
