Kaspersky Labs detecta el primer troyano que se ejecuta al ver archivos BMP

Kaspersky Labs informó la aparición de un nuevo troyano que se vale de archivos de imágenes BMP para infectar a los usuarios, según Kaspersky, el troyano habría sido enviado a una gran cantidad de usuarios, por medio del envío masivo de un mensaje no solicitado (spam), conteniendo una aparentemente inofensiva imagen en formato BMP. El formato de mapa de bits (BMP), es un formato estándar para archivos gráficos en los equipos basados en Windows. El nuevo troyano, llamado Agent por Kaspersky, puede infectar al usuario cuando éste pretende visualizar un gráfico en formato BMP. Agent se vale de una vulnerabilidad en el Internet Explorer 5.0 y 5.5, la cual permite que un código malicioso sea activado al intentar visualizar un archivo BMP. El exploit que permite esto, fue publicado en Internet, apenas dos días después de que partes del código fuente de Windows 2000 Service Pack 1, fueron hechas públicas ilegalmente en febrero de 2004.

La vulnerabilidad engaña al Internet Explorer sobre las direcciones donde almacena las imágenes en mapas de bits. Con un archivo bitmap (BMP) especialmente modificado, se puede causar un desbordamiento de búfer y como ahora lo demuestra este troyano, se puede hasta ejecutar código en forma arbitraria en el sistema vulnerable. El error se produce solamente en Windows 2000. El troyano Agent, fue enviado utilizando tecnología spammer en un correo electrónico infectado que solamente contiene un BMP con un nombre aleatorio. El archivo probablemente fue creado en Rusia o en la unión de los estados independientes (CIS), en la antigua Unión Soviética, ya que solo funciona con la versión rusa de Windows 2000. No lo hace en otros idiomas ni en otras versiones de Windows (9x, Me, XP, 2003). Sin embargo, puede provocar que el programa de correo electrónico se cierre al intentar visualizar la imagen.

Cuando un usuario abre el archivo BMP, el troyano se conecta de inmediato a un servidor remoto localizado en Libia, y descarga y ejecuta un segundo troyano llamado "Throd".

"Throd" es un típico parásito del tipo spyware, que se copia en el registro de del sistema de Windows y luego queda a la espera de las instrucciones de un usuario remoto. Estas instrucciones implican la ejecución remota de varios comandos y programas, la copia de datos, y la recolección de direcciones de la libreta de direcciones del Outlook. También puede convertir al equipo infectado en un servidor proxy, de modo de usarlo como plataforma para lanzar toda clase de ataques.

"Throd obviamente está escrito por spammers," comenta Eugene Kaspersky, Director de Investigación Anti-Virus de Kaspersky Labs, "el Troyano recolecta direcciones de correo electrónico y crea una red de máquinas zombis para ataques masivos de spammer. Una vez más, vemos una confirmación de que los spammers y escritores de virus están trabajando en común acuerdo."

No existe parche para la vulnerabilidad mencionada. "Esta vulnerabilidad en particular, ha sido identificada y reparada en el IE 6.0 SP1, en agosto de 2002. Microsoft continúa recomendando a sus clientes que mantengan al día su software con los últimos parches y actualizaciones. Los usuarios de Windows XP SP1 o Windows Server 2003 que han instalado todas las últimas actualizaciones, no son impactados", dijo un vocero de Microsoft cuando el exploit fue hecho público. Las recomendaciones son mantener actualizado su software antivirus, ya que cómo afirma el propio Kaspersky, "es muy probable que muy pronto aparezca malware atacando otras versiones de Windows".