Ayer jueves 23, Microsoft lanzó, fuera del ciclo que corresponde al segundo martes de cada mes, la actualización MS08-067 (958644) clasificada como crítica ya que una vulnerabilidad en el protocolo RPC permite la ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo.

En palabras sencillas, alguien puede ejecutar el código que desee en nuestro sistema (Windows 2000, XP, 2003, 2008, Vista) sin que nosotros nos enteremos de esa acción.

Esta actualización se lanzó debido a que ya se había publicado una PoC (Proof of concept) para la vulnerabilidad, con lo cual se sabía que no tardaría en aparecer un código dañino que la aproveche para infectar masivamente millones de usuarios (generalmente un gusano).

Esta suposición no tardó en confirmarse ya que en este momento existe al menos un gusano que se está aprovechando de la vulnerabilidad para infectar sistemas. El ejecutable detectado por ESET NOD32 como Win32/Gimmiv.A, registra una DLL (%SystemDir%wbemsysmgr.dll) en el sistema con el nombre "System Maintenance Service" y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento.

Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado.

El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser:

  • Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
  • Usuarios y contraseñas de Microsoft Outlook Express
  • Contraseñas almacenas en Microsoft Internet Explorer
  • Cookies y otros métodos de autenticación
  • Archivos deseados por el atacante

La forma de programación del malware es genérica lo cual indica que no ha sido diseñado para un objetivo determinado sino para infectar masivamente a cualquier usuario, por lo que es altamente recomendable actualizar de inmediato y utilizar un sistema antivirus capaz de detectarlo, como ESET NOD32.

Cristian