|
Diversas fuentes han comenzado a alertar desde el Viernes sobre la aparición de
un misterioso Virus Troyano en páginas web basadas en IIS 5.0 (Internet Information
Services) que es un componente de Windows 2000 Server. Entre estas fuentes
se encuentran Microsoft, el Internet Storm Center y los fabricantes de antivirus.
El método utilizado es inusual y
desconocido. Los servidores han sido comprometidos
utilizando un troyano en JavaScript denominado "JS.Scob.a" o
"Download.Ject". Se desconoce
aún como han sido contaminados tantos servidores como se han
reportado. Puede ser
utilizando una nueva vulnerabilidad desconocida o bien por medio de una que ya esté
documentada. Cuando los usuarios visualizan un sitio infectado, el troyano toma control
de la máquina "visitante" y redirige el navegador a una página que se encuentra en Rusia.
Luego se le instala una versión del "Backdoor.Padodor".
Este programa espía permite
tener control completo de la máquina "secuestrada".
Según reporta la empresa antivirus Kaspersky Labs, el código del Padobor incluye una
línea que indica que está programado por "HangUpTeam". El uso de este programa hace muy
probable que este ataque haya sido lanzado por este grupo, mundialmente conocido como
hackers y autores de virus. Este grupo ha sido fundado por habitantes de Archangel, una
ciudad de Rusia. Este grupo parece estar relacionado con grupos de espamers que utilizan
redes de computadores "zombies" creadas por el HangUp Team
"Aquí estaríamos hablando de un zero day exploit que nadie conoce y que aún no exista
el parche correspondiente. Los hackers pueden haberlo descubierto solos, o haber pagado
por él" declaró Eugen Kaspersky director de investigación anti-virus en Kaspersy
Labs. Luego añadió también que "Nosotros hemos predecido un incidente como éste desde hace
años. Esto confirma la dirección destructiva que está tomando la comunidad
underground. Desafortunadamente este tipo de amenazas mixtas y ataques están diseñados para eludir
las protecciones disponibles hoy en día".
Microsoft comunicó, a su vez, que están actuando con los ISPs y las fuerzas del orden
para identificar el origen del ataque. Aparentemente se ha identificado un servidor en
Rusia que ha sido desconectado. Según la empresa no se trata de un virus informático o gusano, si no
de un ataque "manual". Asimismo, confirmó que este ataque explota una vulnerabilidad en
Internet Explorer para suministrar códigos malignos a los visitantes de una página
infectada.
Lea:
Alerta de Microsoft acerca de Download.Ject
|
