En la presente semana, el informe semanal sobre virus e intrusos se ocupa del exploit IFRAME.BoF, así como de los gusanos Mydoom.AE, Mydoom.AF y Gavir.A.

IFRAME.BoFes un exploit diseñado para aprovechar un problema de seguridad de tipo desbordamiento de búfer que afecta a la versión 6.0 del navegador Microsoft Internet Explorer, y que permite a un atacante ejecutar código arbitrario de forma remota en los sistemas afectados. Esta vulnerabilidad ha sido calificada como extremadamente crítica.

El exploit puede ser insertado en páginas web maliciosas o en mensajes de correo electrónico en formato HTML, a los que se añade código ejecutable. Éste se ejecutará automáticamente en el momento que se produzca el desbordamiento de búfer. El código ejecutable puede ser de cualquier naturaleza, lo que posibilita la realización de todo tipo de acciones maliciosas en los ordenadores afectados por este problema de seguridad.

Dado que aún no ha sido publicado ningún parche de seguridad para corregir el mencionado problema, lo más conveniente es mantener actualizado el software antivirus. Además, es muy aconsejable desactivar la ejecución de “Active Scripting” del navegador, así como cambiar la configuración del cliente de correo electrónico, de manera que los mensajes sean visualizados en formato de texto plano.

Precisamente, las nuevas variantes AE y AF del conocido gusano Mydoom ya utilizan el exploit IFRAME.BoF. Ambos gusanos -muy similares- se propagan a través de correo electrónico en mensajes que ellos mismos componen. A este fin, crean un servidor HTTP en el puerto de comunicaciones 1639.

Los mensajes que Mydoom.AE y Mydoom.AF envían, incluyen un link a archivos que contienen el exploit IFRAME.BoF y que se encuentran en otros ordenadores afectados. En caso de que el usuario que recibe el e-mail pulse sobre dicho enlace y su ordenador sea vulnerable, los gusanos se descargan y ejecutan automáticamente en el sistema.

Además de lo anterior, Mydoom.AE y Mydoom.AF tratan de establecer conexiones con un gran número de servidores de IRC a través del puerto de comunicaciones 6667.

Por último, Gavir.A es un gusano cuyo único objetivo es descargar una variante de la extensa familia de troyanos Legmir en los ordenadores a los que afecta. Gavir.A se propaga a través de recursos compartidos de red, creando copias de sí mismo en los recursos IPC$ y ADMIN$ a los que consigue acceso.

Como dato a destacar, Gavir.A también genera un script en un directorio temporal, cuya función es borrarse a sí mismo una vez que ha terminado su ejecución.

Fuente: Panda Antivirus