NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nuevo troyano que se instala al abrir fichero PPT, intentando explotar vulnerabilidad en Office ya descrita y parcheada el pasado mes de Marzo (MS06-012).


Nombre de virus: Backdoor-CZL.dr  
Alias conocidos: Exploit.MS06-012, P2KM_EMBED.AC, Trojan.PPDropper, Trojan.PPT.B, Win32/Small.KY        
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Propagación: IRC, P2P, email, news, etc...
Activación: Por visualización de documento .PPT
Detección: desde DATS 4750
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

BackDoor-CZL.dr es un troyano que se presenta a través de un documento PowerPoint especialmente modificado, y que pretende explotar la vunerabilidad "Microsoft Office Remote Code Execution Using a Malformed Routing Slip Vulnerability" para descargar y correr un ejecutable Win32 encapsulado dentro del documento.

Al iniciar el documento de PowerPoint "newplan.ppt", se visualiza la siguiente diapositiva:

 

 

 



 

 

 

 

 

 

 

 

 

 

 

Mientras se visualiza la dispositiva, el troyano intenta sacar provecho de una vulnerabilidad conocida de Microsoft Office para generar de manera silenciosa los siguientes ficheros:

%Windir%\%SYSDIR%\wbem\wmiadapt.exe
%Windir%\%SYSDIR%\systhin.dll

Más información sobre esta vulnerabilidad (ya mencionada en nuestra nota informativa  del pasado 15 de marzo) :

Boletín de seguridad de Microsoft MS06-012 (Severidad: Crítica)
Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (905413)

Boletín Técnico (IT Pro)

A continuación, añade los siguientes valores al registro, para ejecutarse al inicio de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = Explorer.exe "%Windir%\%SYSDIR%\wbem\wmiadapt.exe"

Asimismo, el fichero "systhin.dll" se inyecta dentro del proceso de sistema svchost.exe y contiene propiedades de backdoor. Intenta contactar con una dirección IP remota para descargar un fichero "systanen.exe"

Detección y eliminación

El gusano se controla desde los DAT 4750 . Como ya informamos en nuestros comunicados mensuales sobre nuevas vulnerabilidades, insistimos de nuevo en la importancia de verificar la correcta aplicación de los parches críticos de Microsoft a través de WindowsUpdate.

 

SATINFO, VIRUSCAN SPAIN SERVICE   27 de Abril de 2006

Anterior