“Download.Ject” ataca redes de Instant Messaging

22 Ago 2004 en Seguridad

El sofware malicioso o artilugio conocido como Download.Ject ha reaparecido y utiliza a las transitadas redes de mensajería instantánea AIM e ICQ para diseminarse.
De acuerdo a un alerta emitido por PivX Labs, este gusano aprovecha a varias brechas ya conocidas en Microsoft Internet Explorer (IE) para redireccionar a las máquinas afectadas hacia sitios Web que muestran propaganda para adultos y diversos links.
PivX Labs define a este reciente ataque como a una variante del que antes realizara el mismo Download.Ject. Mediante la violación de varios sitios Web muy populares, el ataque logró usarlos para distribuir programas maliciosos a las máquinas infectadas.
El gusano había sido programado para descargar e instalar programas tipo Troyanos como registros de digitación, servidores proxy y otras “puertas traseras,” capaces de ofrecer acceso total al sistema infectado.
Este último mutante detectado por PivX Labs aparece como un inofensivo mensaje en AIM o ICQ y dice “My personal home page http://xxxxxx.x-xxxxx.xxxx/.” Si el usuario hace click en esa determinada dirección, IE abre un sitio Web malicioso en el que se infecta al usuario aprovechando vulnerabilidades del browser de Microsoft, tales como Redirect de Object Data, Ibiza CHM y MHTML, vulnerabilidades éstas ya conocidas pero aún no corregidas mediante los correspondientes patches.
En los sistemas infectados, el gusano modifica la página home en IE y el paneo de búsqueda para reemplazarlos por un sitio llamado TargetSearch y varias ventanas mostrando contenidos para adultos. Thor Larholm, investigador de PivX Labs, cree que existen motivaciones económicas detrás de estos ataques. Por su parte, la gente de AOL aclaró en un comunicado que los ataques no se deben a una brecha de seguridad en los sistemas públicos de IM de la empresa.
La principal forma de prevención es no hacer click en URLs que aparezcan de usuarios no conocidos ni de mensajes que pueden provenir incluso de la lista de amigos de alguien. Microsoft tiene una sección dedicada a Dowload.Ject que se puede visitar en
http://www.microsoft.com/security/incident/download_ject.mspx y allí hay un link a una herramienta de remoción sin cargo que se puede descargar en : http://www.internetnews.com/security/article.php/3380941. También hay recomendaciones de cambios de configuración que pueden minimizar la amenaza en http://www.internetnews.com/ent-news/article.php/3376951