Comentarios en: Alerta: Ataques segmentados a raíz de la última vulnerabilidad de Word http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/ Seguridad de la Información y Auditoría de Sistemas Sun, 12 Oct 2008 17:19:01 +0000 http://wordpress.org/?v=2.6.2 By: josemaria http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4614 josemaria Wed, 24 May 2006 06:31:35 +0000 http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4614 Kasperky en una nota del día 19 (viernes) también anunciaba que podían detectar tanto al portador como al backdoor: http://www.viruslist.com/en/weblog?weblogid=187033965 Kasperky en una nota del día 19 (viernes) también anunciaba que podían detectar tanto al portador como al backdoor:

http://www.viruslist.com/en/weblog?weblogid=187033965

]]> By: jman_pv http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4537 jman_pv Wed, 24 May 2006 03:05:53 +0000 http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4537 No me sorprende tratándose del Nod32. Otro punto para este poderoso antivirus. No me sorprende tratándose del Nod32. Otro punto para este poderoso antivirus.

]]> By: maty http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4103 maty Mon, 22 May 2006 21:05:20 +0000 http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4103 Pero... yendo al primer reporte aparecido en VSANTIVIRUS: Exploit.MSWord.1Table. Detección de exploit de Word <a href="http://www.vsantivirus.com/exploit-msword-1table.htm" rel="nofollow">http://www.vsantivirus.com/exploit-msword-1table.htm</a> Al mismo tiempo, un código de línea de comandos es ejecutado, el cuál libera un .EXE embebido en el documento malicioso. Al momento actual, el ejecutable es un troyano detectado por NOD32 como Win32/Ginwui. POR TANTO, según esa información, FUE DETECTADO POR HEURISTICA en el mismo momento que intentó infectar. Es decir, no antes, en el correo, pero sí al abrir el archivo. No estaría de más que otros pudiesen contrastar esa información, pero me la creo (si no, no estaría el enlace directo en mi bitácora). Pero… yendo al primer reporte aparecido en VSANTIVIRUS:

Exploit.MSWord.1Table. Detección de exploit de Word
http://www.vsantivirus.com/exploit-msword-1table.htm

Al mismo tiempo, un código de línea de comandos es ejecutado, el cuál libera un .EXE embebido en el documento malicioso. Al momento actual, el ejecutable es un troyano detectado por NOD32 como Win32/Ginwui.

POR TANTO, según esa información, FUE DETECTADO POR HEURISTICA en el mismo momento que intentó infectar. Es decir, no antes, en el correo, pero sí al abrir el archivo.

No estaría de más que otros pudiesen contrastar esa información, pero me la creo (si no, no estaría el enlace directo en mi bitácora).

]]> By: maty http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4102 maty Mon, 22 May 2006 21:04:56 +0000 http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4102 VirusTotal se basa en el escaneo de ficheros, así que su eficacia está en cuestión. PREGUNTA: ¿Se ha ejecutado el bicho y visto cómo han respondido los módulos de los antivirus que monitorizan? En la comunicación con el exterior ¿ha sido capaz de atravesar cortafuegos software decentillos? ¿Utiliza la "dll injection" para hacerse pasar por el IE o se comunica directamente? Ayer el NOD32 v2 actualizó la heurística avanzada (400KB). Me llamó mucho la atención, tal vez fue ese motivo, ya que no es habitual una actualización de ese tamaño. Yendo a VSANTIVIRUS: Exploit.MSWord.Smtag. Detección genérica exploit Word <a href="http://www.vsantivirus.com/exploit-msword-smtag.htm" rel="nofollow">http://www.vsantivirus.com/exploit-msword-smtag.htm</a> Leo: " Detección genérica de NOD32 para código malicioso que explota una vulnerabilidad desconocida en Microsoft Word, para la cuál al momento actual, no existe ningún parche o actualización." En otras palabras, DETECTADO POR SU HEURISTICA. ¿Me equivoco? Versión 1.1551 20/05/06 - 21:40 -0300 Win32/Exploit.MSWord.Smtag Por tanto fue incluido en su listado el sábado a la noche. Por tanto, el lunes, al actualizarse automáticamente el antivirus al conectarse a internet (se supone debidamente configurado), los usuarios estarían protegidos. VirusTotal se basa en el escaneo de ficheros, así que su eficacia está en cuestión.

PREGUNTA:

¿Se ha ejecutado el bicho y visto cómo han respondido los módulos de los antivirus que monitorizan?

En la comunicación con el exterior ¿ha sido capaz de atravesar cortafuegos software decentillos?

¿Utiliza la “dll injection” para hacerse pasar por el IE o se comunica directamente?

Ayer el NOD32 v2 actualizó la heurística avanzada (400KB). Me llamó mucho la atención, tal vez fue ese motivo, ya que no es habitual una actualización de ese tamaño.

Yendo a VSANTIVIRUS:
Exploit.MSWord.Smtag. Detección genérica exploit Word
http://www.vsantivirus.com/exploit-msword-smtag.htm

Leo: ” Detección genérica de NOD32 para código malicioso que explota una vulnerabilidad desconocida en Microsoft Word, para la cuál al momento actual, no existe ningún parche o actualización.”

En otras palabras, DETECTADO POR SU HEURISTICA. ¿Me equivoco?

Versión 1.1551
20/05/06 - 21:40 -0300 Win32/Exploit.MSWord.Smtag

Por tanto fue incluido en su listado el sábado a la noche. Por tanto, el lunes, al actualizarse automáticamente el antivirus al conectarse a internet (se supone debidamente configurado), los usuarios estarían protegidos.

]]> By: josemaria http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4101 josemaria Mon, 22 May 2006 20:01:49 +0000 http://www.sahw.com/wp/archivos/2006/05/22/alerta-ataques-segmentados-a-raiz-de-la-ultima-vulnerabilidad-de-word/#comment-4101 Ante casos como este lo que me deja terriblemente sorprendido es la escasa conciencia del riesgo que se corre que tiene la gente. Yo envíe la nota a Menéame a las horas de hacerse pública porque nada más leer el report que hacían en el ISC ya intuía que la cosa iba a traer cola (http://meneame.net/story/0day-en-microsoft-word-xp-y-2003) y, para mi sorpresa, tuvo una aceptación bajísima. Y eso que el usuario medio de menéame es de un nivel medio-alto... Ante casos como este lo que me deja terriblemente sorprendido es la escasa conciencia del riesgo que se corre que tiene la gente. Yo envíe la nota a Menéame a las horas de hacerse pública porque nada más leer el report que hacían en el ISC ya intuía que la cosa iba a traer cola (http://meneame.net/story/0day-en-microsoft-word-xp-y-2003) y, para mi sorpresa, tuvo una aceptación bajísima. Y eso que el usuario medio de menéame es de un nivel medio-alto…

]]>