• Tweet

Los usuarios de Windows que no hayan bajado e instalado los parches de Microsoft, que han salido en Enero, para corregir las fallas en el fomato de iconos y el cursor, deberían bajarlas inmediatamente. PandaLabs dice que ha sido detectado el primer adware que ataca dichos problemas de seguridad.

La compañía antivirus de Glendale dijo que Searchmeup usa las vulnerabilidades para descargarse en las computadoras sin el permiso del usuario. Las páginas de donde Searchmeup se puede bajar, contienen tambien varios exploits que pueden descargar otro malware dentro de las computadoras afectadas. Esto incluye el caballo de troya Tofger-AT, que "roba" contraseñas; Dialer-BB; Dialer-NO y otro adware llamado Adware/TopConvert.

"La aparición de Searchmeup es una señal de la evolución continua del malware y del adware y spyware en particular," dijo Luis Corrons, director de PandaLabs. "La primera etapa fue que el adware alcanzó a los equipos por medio de aplicaciones de freeware, luego en las páginas web apareció la instalación de adware en las computadoras de los usuarios usando ActiveX. Ahora han ido un paso adelante, como el Searchmeup que explota vulnerabilidades que incluso los virus y gusanos no han usado hasta ahora."

Las fallas usadas.

Específicamente, el parche que Microsoft liberó en Enero, se destinaba contra dos fallas en cómo el cursor, cursor animado y los formatos de iconos se manejan. La primera es una falla que permite la ejecución de código; la segunda es una falla que permite hacer una negación de servicio.

En la primera liberación, Microsoft dijo: "Un atacante podría tratar de explotar la vulnerabilidad construyendo un cursor malicioso o un archivo de ícono que podría permitir ejecución de código remoto si un usuario visitara un sitio web o visualizara un correo electrónico malicioso. Un atacante que explotara con éxito dicha vulnerabilidad, obtendría el control completo del sistema atacado."

El segundo problema podría ser explotado de la misma forma, pero "podría causar que el sistema operativo dejase de responder. El sistema operativo tendría que reiniciarse para poder recuperar su función", dijo Microsoft.

Las fallas afectan a Windows 98, ME, NT 2000, XP y Server 2003.

Los métodos maliciosos de Searchmeup.

PandaLabs dijo que el Searchmeup es descargado en la computadora cuando el usuario visita ciertas páginas web. Una vez dentro, cambia la página de inicio hacia un buscador que cada vez que se carga, manda ventanas emergentes (pop-ups). Su objetivo principal es el instalar spyware y dialers en la computadora afectada.

El laboratorio agregó que las páginas en donde se encuentra Searchmeup también instalan Tofger-AT. El troyano se ejecuta cada vez que se ejecuta Internet Explorer. Lleva el control de lo que el usuario hace en-línea, robando contraseñas cuando se usan conexiones seguras de HTTPS, que normalmente se llevan a cabo cuando el usuario entra a sistemas bancarios en internet.

Cuando éste detecta ciertos nombres en el URL, intenta capturar las contraseñas, dijo PandaLabs. Los URLs de bancos que busca son: cajamadrid, bpinet, millenniumbcp, hsbc, barclays, lloydstsb, halifax, autorize, bankofamerica; bancodevalencia, cajamar, portal.ccm, bancaja, caixagalicia, caixapenedes, ebankinter, caixasabadell, bes, banif, millenniumbcp, totta, bancomais, montepiogeral, bpinet, patagon, lacaixa, citibank, bbvanet, banesto, e-trade y unicaja. Una vez que recolectó la información, la manda a un servidor.

El laboratorio dijo que Serachmeup puede incluso generar un error en "services.exe" haciendo que el equipo se reincie después de un minuto. Despues de reiniciar, la computadora opera normalmente. En algunas ocaciones, Searchmeup puede hacer aparecer errores de pantalla azul, y el Tofger puede actualizarse a una nueva versión.