La empresa fabricante de antivirus Panda Software, informa que se han detectado tres problemas de seguridad, que afectan a varios productos de Microsoft y pueden permitir a un atacante controlar equipos vulnerables utilizando los troyanos -Mitglieder.HE y Spymaster.A-, y el gusano -Mytob.ML-.
El primer problema de seguridad que mencionamos afecta a Office 2000 SP3, Office XP SP3, Office 2003 SP1 y SP2, y Exchange Server. Tiene su origen en la forma en la que Outlook y el servidor Exchange codifican mensajes de correo electrónico, que utilizan el protocolo TNEF (Transport Neutral Encapsulation Format).
La segunda vulnerabilidad de la que informamos afecta a Windows 2003/XP/2000/Me/98, y se debe a la forma en la que Windows maneja las fuentes web embebidas que estén malformadas. Puede ser aprovechada por un atacante alojando una fuente web maliciosa en una página especialmente creada, y convenciendo a usuarios para que la visiten, o enviando por correo electrónico un mensaje especialmente creado que contenga una fuente web maliciosa.
El tercer y último problema de seguridad al que nos referimos reside en Graphics Rendering Engine, en computadoras con Windows 2003/XP/2000, y permite ejecutar código arbitrario en el sistema vulnerable. Puede ser aprovechado por un atacante alojando una imagen WMF (Windows MetaFile) en una página web especialmente creada, y convenciendo a usuarios de que la visiten, o enviando por correo electrónico un mensaje especialmente creado que contenga una imagen WMF.
Microsoft ha publicado tres boletines de seguridad -el MS06-003, el MS06-002 y el MS06-001-, en los que anuncia la disponibilidad de actualizaciones que resuelven las tres vulnerabilidades mencionadas, y cuya instalación se recomienda a los usuarios de los equipos afectados.
El primer troyano que analizamos es Mitglieder.HE, que para propagarse precisa de la intervención de un atacante, aunque también puede iniciar un servidor SMTP y enviar una copia suya a través del correo electrónico.
En el equipo al que afecta, Mitglieder.HE abre el puerto 9031 y actúa como servidor proxy. Además, espera órdenes de control remoto que llevar a cabo, como descargar y ejecutar archivos, iniciar un servidor SMTP, modificar el puerto de acceso o actualizarse a sí mismo.
El segundo troyano del presente informe es Spymaster.A que, como sucedía con la amenaza anteriormente citada, no se propaga automáticamente por sus propios medios y precisa de la intervención de un atacante para su propagación. Normalmente es distribuido a través del correo electrónico, en un mensaje que contiene un archivo adjunto denominado SERVER.EXE.
Spymaster.A registra las pulsaciones de teclado introducidas por el usuario, para obtener contraseñas u otro tipo de información confidencial, al tiempo que monitoriza las páginas web a las que se ha accedido. Asimismo, puede visualizar los programas que están en ejecución y los archivos que el usuario crea, modifica o borra. La información que recopila la guarda en un fichero, que envía a un servidor FTP. Otro dato significativo de Spymaster.A es que emplea un curioso sistema de ocultación, para hacerse pasar por la aplicación MSN Messenger, para que los usuarios no sospechen de su presencia en el sistema.
Finalmente, Mytob.ML, gusano que se propaga a través del correo electrónico, en un mensaje que contiene un enlace. Tras afectar un equipo, se conecta a un servidor IRC para recibir órdenes de control remoto que llevar a cabo. Además, finaliza procesos pertenecientes a otros ejemplares de malware y a diversas herramientas de seguridad -como, por ejemplo, cortafuegos-, e impide el acceso a determinadas páginas, pertenecientes -en su mayoría- a empresas antivirus.