En un informe presentado por una de las compañías de seguridad más importantes en internet, Secunia, se asegura que Firefox es el navegador web más vulnerable hoy en día, y a la vez uno de los y que mayor adopción está generando en el mercado mundial.

“Este año en Secunia hemos publicado detalles de seguridad para los cuatro navegadores web más ampliamente usados: Internet Explorer (IE), Safari, Opera y Mozilla Firefox. se informaron de 31 vulnerabilidades para Internet Explorer (IE 5.x 6.x y 7), incluidos los revelados públicamente por el proveedor antes de aplicar los correspondientes parches, así como los incluidos en los boletines de seguridad de Microsoft. Safari y Opera tenían cada uno 32 y 30 vulnerabilidades respectivamente, mientras que se registraron “115 vulnerabilidades” para Firefox en 2008.”

FUENTE

Las descargas inadvertidas (drive-by downloads) han aumentado su popularidad en 2008. Como los administradores de sitios web están cada vez más informados sobre las últimas amenazas de seguridad, los cibercriminales están buscando nuevas formas de garantizar la supervivencia de sus programas nocivos.
Y, para ello, ¿qué mejor que utilizar Google? Todos lo usan, ¿por qué escritores de virus se quedarían atrás? Últimamente hemos estado viendo ataques que funcionan de la siguiente manera:

Los escritores de virus realizan búsquedas en Google para identificar los sitios web más populares. Después, buscan vulnerabilidades en cada uno de estos sitios. Las páginas con vulnerabilidades más críticas son utilizadas por los cibercriminales para lanzar sus ataques. Pero, para evitar ser descubiertos, los cibercriminales evitan agregar códigos en forma de nuevos archivos a los sitios comprometidos, e incluso evitan hacer uso de códigos ofuscados. En lugar de ello, modifican los scripts que ya se están ejecutando en las páginas comprometidas. En este caso particular, los nuevos parámetros que se agregan al script existente incluyen la siguiente función: (–referer=http://www.google.com/).

Esta función revisa de dónde viene el visitante del sitio infectado. Si se detecta que el visitante ingresó a la página utilizando un enlace proveído por Google, entonces se lo redirige a varios sitios nocivos que no tienen nada que ver con el que el usuario quería visitar. ¿El resultado? Un equipo infectado.

Por si esto fuera poco, el ataque no funciona si el internauta simplemente escribe el nombre del sitio infectado. En tal caso, no se ejecuta ninguna de las funciones del script inyectado y el usuario sólo se encuentra frente al sitio que quería visitar. Esto evita que los administradores, empleados y visitantes regulares de los sitios afectados sean víctimas del ataque, mientras que los criminales todavía pueden alcanzar sus metas:

* Infectar un gran número de gente

* Evitar que el administrador del sitio descubra y elimine el script malicioso.

Este tipo de ataques no sólo perjudican a los navegantes de la red, también pueden hacer que sitios inofensivos acaben formando parte de la lista negra de los productos de seguridad.

Pero no sólo los sitios web más visitados de Google son víctimas de este nuevo ataque: los cibercriminales también están dirigiendo sus ataques a algunos sitios de productos de seguridad. Este es el caso, por ejemplo, del conocido programa de seguridad fraudulento Antivirus XP. Si un usuario está navegando en Google, tratando de encontrar información sobre este tema, su búsqueda tendrá una gran variedad de resultados. El problema es que, al ingresar a alguno de los sitios de la lista de resultados de Google, el script modificado del servidor de seguridad alterado ejecutará Antivirus 2010 en su equipo.

Parece que el comprometer sitios ofrecidos por buscadores de confianza y el infectar a los usuarios utilizando una serie de redirecciones serán dos formas de ataque muy populares en 2009, y sin duda causarán nuevos y fuertes dolores de cabeza a los administradores de sitios de Internet.

Este caso demuestra que ningun rincón de Internet es tan seguro como parece. Y este problema no sólo afecta a Google: después de realizar un par de pruebas, comprobé que este ataque también afecta a los buscadores de Yahoo! y MSN. Detectamos el programa utilizado para realizar este ataque como Trojan-Downloader.Win32.Fraudload.vffa, y estamos listos para hacer frente a futuras variantes de este ataque.

FUENTE

Tal y como preveíamos cuando anunciamos la nueva vulnerabilidad de Internet Explorer (ya solucionada), era cuestión de tiempo hasta que aparecieran sitios vulnerados y en los cuales se llama a un script dañino que explota dicha vulnerabilidad para infectar usuarios.

En este momento se puede acceder a miles de sitios vulnerados a través de cualquier buscador y en ellos se puede ver un script ofuscado. La propagación de dicha amenaza también se está realizando a través de mensajería instantánea. Por ejemplo, un usuario infectado podría enviar el siguiente mensaje

Al ingresar al sitio, también se llegar al siguiente script dañino:

Si se desofusca el código se puede ver que en realidad se trata del reciente exploit de XML de Internet Explorer, el cual funciona en las versiones 6.0 ó superior. Al ejecutarse dicho exploit en un sistema no actualizado, se descarga un troyano orientado a robar datos sensibles del usuario. ESET NOD32 detecta proactivamente el exploit como JS/Exploit.CVE-2008-4844.gen

Debido a que este exploit y cualquier otro puede encontrarse en cualquier sitio web, es fundamental actualizar el sistema, instalar un antivirus con capacidades proactivas y tomar las medidas de prevención ante la explotación de la vulnerabilidad.

Con respecto al cliente de mensajería instantánea, en Configurando ESET NOD32 Antivirus en MSN I y II encontrará información de utilidad para la prevención de esta y otras amenazas.

FUENTE

Tal y como adelantamos ayer, Microsoft ha publicado la actualización para su navegador Internet Explorer. La instalación inmediata de este parche es imprescindible, ya que la vulnerabilidad es crítica y está siendo aprovechada de forma activa por atacantes.

El problema puede permitir al atacante la ejecución de código arbitrario, sin interacción del usuario con tan solo visitar una página web comprometida. La vulnerabilidad, que afecta a todas las versiones de Internet Explorer, reside en el manejo de etiquetas XML. Además se ha comprobado que el fallo lleva tiempo siendo activamente aprovechado por webs para instalar malware.

Según algunos medios el número de ordenadores infectados puede llegar a los dos millones, a través de más de 100.000 sitios web legítimos (aunque la mayoría de ellos chinos) comprometidos para aprovechar la vulnerabilidad e infectar automáticamente a los visitantes.

El fallo que se hizo público la semana pasada, justo el día antes de la publicación mensual de boletines, ha obligado a Microsoft a trabajar contrarreloj y en apenas nueve días ha publicado un boletín fuera de ciclo (el MS08-078) en el que anuncia la esperada actualización. Hay que tener en cuenta que en este tiempo se ha desarrollado, corregido, probado, evaluado y distribuido la actualización para todas las versiones de IE, en todas las plataformas e idiomas posibles (más de 300 versiones diferentes según Microsoft). Aunque todo esto no impide que en el futuro pueda detectarse algún problema con el parche, debido a las prisas con que se ha llevado a cabo todo el proceso.

La actualización está disponible a través de los medios habituales, desde Windows Update o a a través de los enlaces de descarga disponibles en el boletín MS08-078:

http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx

Los sistemas configurados para la instalación automática de las actualizaciones ya han debido actualizarse.

Boletín de seguridad de Microsoft MS08-078 Crítico
Actualización de seguridad para Internet Explorer (960714)

http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx

Rise of IE Zero-Day Through SQL Injection

https://forums.symantec.com/t5/Vulnerabilities-Exploits/Rise-of-IE-Zero-Day-Through-SQL-Injection/ba-p/372832#A182

FUENTE

Como anunciamos, se está aprovechando una vulnerabilidad no solucionada en Internet Explorer para descargar malware. Aunque no se puede resolver completamente el problema, para mitigarlo y prevenirlo lo máximo posible, debemos realizar una sencilla configuración en el navegador.

Si bien las capturas que utilizaremos están basadas en la versión 7.0 de Internet Explorer, también son aplicables, aunque encuentren ligeras diferencias, para la versión 6.

En primer lugar, debemos acceder a las Opciones de Internet desde el menú Herramientas. Luego, en la solapa Seguridad, cambiamos el nivel de seguridad para la zona de Internet a Alto y finalizamos haciendo clic sobre el botón Aplicar. De esta manera deshabilitaremos funcionalidades como la ejecución de código Active scripting, ActiveX, Applets de Java, etc., brindando mayor grado de seguridad al navegador.

En la zona Sitios de confianza de la misma solapa, podemos especificar, a través del botón Sitios, las direcciones de los sitios web que consideramos de confianza.

En la solapa Privacidad, también es conveniente que, desde el botón Avanzada, se tilde la casilla de verificación llamada Invalidar la administración automática de cookies y, en las opciones que se habilitan, marcar en Preguntar.

Otra configuración importante que guarda relación directa con la explotación de vulnerabilidades es la relacionada a los objetos multimedia. Para controlarlo se debe deshabilitar dos opciones, Activar animaciones en páginas web y Reproducir sonidos en páginas web, ubicadas en la solapa Opciones avanzadas.

Por otro lado, y fuera de las configuraciones de seguridad propias del navegador, también es conveniente configurar la prevención de ejecución de datos (DEP) presente en plataformas Windows XP y Vista. Esto se logra accediendo a: Mi PC > Propiedades > Opciones avanzadas y en la sección rendimiento hacer clic sobre el botón Configuración.

Se abrirá la ventana Opciones de rendimiento y, en ella, debemos asegurarnos que se encuentre activada la opción Activar DEP sólo para los programas y servicios de Windows esenciales.

Por último, ESET NOD32 detecta y elimina estas amenazas por lo que es altamente recomendable actualizarlo y mantenerlo activo.

FUENTE

El lunes 8 de este mes, un día antes que aparecieran las actualizaciones mensuales de Microsoft, un grupo chino (presuntamente sin intención, aunque hay otras versiones) hacía circular por Internet un exploit 0-day (vulnerabilidad sin solución hasta el momento) para Internet Explorer 7.0. Al hacerse conocido en ese momento, imposibilita a la empresa a lanzar una actualización al día siguiente y logrando que el exploit se masificara.

Por eso, en este momento existen múltiples variantes del mismo que están siendo aprovechadas por los creadores de malware para difundir sus creaciones. Microsoft se encuentra trabajando en la solución en su Aviso de seguridad número 961051. Hasta el momento, se desconoce el impacto real de la vulnerabilidad pero se sabe que potencialmente podría incluir a Internet Explorer 6.0 o superior (en Windows XP, Windows Vista y Windows Server 2003 y 2008, aún con todos los Service Pack instalados), sin bien hasta ahora solamente se encuentran circulando exploits para la versión 7.0 del navegador.

Los diferentes exploits activos explotan una vulnerabilidad en el manejo de etiquetas XML que efectúa Internet Explorer y, a través de un código Javascript, genera un código ejecutable (shellcode), que, a su vez, descarga otro archivo con diferentes troyanos. ESET NOD32 bloquea las amenazas.

Como puede verse el exploit permite ejecutar código arbitrario en el sistema del usuario y descargar cualquier tipo de programa dañino al sistema, lo que lo vuelve extremadamente peligroso.

Para agravar el problema, los exploits y malware se encuentran circulando en Internet ya que los mismos han sido inyectados a través de Javascript en cientos de sitios e incluso ya es posible encontrarlos con cualquier buscador. La inyección realizada en sitios vulnerables, que posean información en Microsoft SQL Server, es la siguiente:

Si el usuario ingresara a estos sitios, se llamará automáticamente al Javascript mostrado, comenzando la explotación del fallo y la consecuente descarga del malware. A continuación dejo una captura de pantalla del código Javascript que explota la vulnerabilidad en Internet Explorer 7.0 y genera la shellcode mencionada:

Y, a continuación otra imagen de lo que sucede al ingresar a un sitio modificado en el cual se insertó el Javascript:

Como puede verse en los recuadros se descargan distintos HTML, los cuales son explotaciones de vulnerabilidades anteriores ya solucionadas pero, que ante la duda, se ejecutan ya que existen millones de usuarios que aún no han actualizado su sistema. Luego, se encuentra el archivo “ie7.htm” que es el mostrado anteriormente y que descarga el archivo win.exe.

Resumiendo:

* Aparece una vulnerabilidad no parcheada (0-day) y el lunes 8 se publicó un exploit para la misma.
* Microsoft aún se encuentra analizado el problema para lanzar quizás una actualización fuera del circuito de cada mes,
* Existen diferentes explotaciones del malware que terminan descargando diferentes malware al equipo del usuario,
* Existen cientos de sitios desde los cuales es posible infectarse simplemente ingresando,
* ESET NOD32 detecta las amenazas, ya sea el exploit como los malware descargados a través de su Heurística Avanzada.

Pasos para la mitigación del problema (no resuelven completamente el problema):

Desde ESET hemos publicado una pequeña guía paso a paso para prevenir la explotación de esta vulnerabilidad y la posible descarga de malware y además es bueno seguir estos consejos:

* Actualizar a la brevedad para evitar que otras vulnerabilidades antiguas afecten nuestro sistema, sobre todo al ingresar a sitios webs como los mostrados en la imagen.
* Instalar un antivirus con capacidades proactivas como ESET NOD32 que detecte tanto el exploit como el malware descargado.
* Configurar el navegador en nivel Alto de seguridad y habilitar el Modo protegido de Internet Explorer en los sistemas que lo permitan, para prevenir la ejecución de código en páginas no confiables.
* No autorizar ejecución de código cuando el navegador lo solicite, mostrando la barra amarilla en la parte superior del mismo.
* Activar DEP (Data Execution Prevention), ya que por defecto se encuentra desactivado en Internet Explorer, para prevenir la ejecución de código en zonas de memoria no marcadas como ejecutables.
* No utilizar el sistema con permisos administrativos para evitar la posible ejecución de código.

Repito que esto mitiga en gran parte del problema pero, no lo soluciona. Por eso, es fundamental contar con las herramientas adecuadas de prevención, el sentido común y los buenos hábitos y educación que cada día intentamos llevar a Uds. desde ESET.

FUENTE

Una nueva vulnerabilidad descubierta en Internet Explorer 7, aún no solucionada por las actualizaciones de seguridad de Microsoft, está siendo activamente explotada según recientes reportes.

Apenas publicados los boletines de seguridad de diciembre, el Internet Storm Center del SANS Institute, recibió informes de un nuevo agujero de seguridad en Internet Explorer 7. Esta vulnerabilidad es considerada Zero Day (Día cero) por estar circulando un exploit que saca provecho de la misma, sin que exista hasta el momento un parche por parte del vendedor.

Los responsables de la divulgación de este fallo, podrían haber sido un grupo de expertos chinos que consideraron que el mismo iba a ser solucionado con las actualizaciones de diciembre, y por error lo publicaron. Sin embargo, también hay versiones no confirmadas, de que algunos creadores de malware ya lo conocían desde antes y que recién ingresó al mercado negro en noviembre, cuando alguien pagó por los detalles del mismo.

De acuerdo con los reportes actualizados, el fallo es utilizado por creadores de malware, no solo a través de sitios webs maliciosos, sino también de sitios normales que han sido comprometidos por medio de otra vulnerabilidad. La visita a los mismos puede hacer que se active un script (secuencia de comandos) en el ordenador de la víctima, que descargará y ejecutará una amenaza en el sistema vulnerable.

Si logra explotar exitosamente este fallo, el atacante ganará los mismos privilegios del usuario activo en el equipo en ese momento. Las cuentas de usuarios con menos derechos administrativos posibilitarán una menor exposición del sistema.

Microsoft ha publicado un informe al respecto, en el cual afirma estar conciente del problema e investigando para encontrar una solución. Según la empresa los ataques detectados son contra Internet Explorer 7 en Windows XP, Windows Vista y Windows Server 2003 y 2008, aún con todos los Service Pack instalados.

La habilitación del “Modo protegido” de IE7 en Windows Vista y el uso del nivel “Alto” de seguridad en el navegador afectado en los otros sistemas operativos, pueden ser un factor mitigante. En Windows Server 2003 y 2008, por defecto el navegador funciona en modo restringido, lo cual reduce las consecuencias de un ataque.

Es importante recalcar que estos ajustes NO evitan la explotación de la vulnerabilidad, solo dificultan su explotación.

Muy posiblemente los sitios web maliciosos estén preparados para aprovechar no solo ésta, sino otras vulnerabilidades existentes, por lo que se aconseja aplicar las últimas actualizaciones disponibles y mantener el software de seguridad al día.

FUENTE

Trend Micro Incorporated, líder global en seguridad de contenidos en Internet, pone de manifiesto que los gusanos acapararon la atención durante el mes de octubre, ya que se comportaron de forma inusual. Las variantes del mes pasado no se limitaron sólo a propagarse, sino que también instalaron archivos, descargaron código malicioso y explotaron vulnerabilidades. Las nuevas variantes de los gusanos WORM_AUTORUN.CTO, WORM_AUTORUN.EPZ, WORM_AUTORUN.GAJ y WORM_ONLINEG.AFU mostraron rutinas de descarga, usando la técnica AUTORUN para propagarse en los sistemas. Sin embargo, WORM_GIMMIV.A dependió de la vulnerabilidad Microsoft MS08-067 recientemente descubierta para su rutina de propagación, afectando a sistemas no parcheados. Microsoft liberó un parche para la vulnerabilidad, de modo que los sistemas actualizados están protegidos contra esta explotación.

Otros gusanos dependieron más de medios convencionales para propagarse, como el spam. Troyanos como TROJ_PAKES.AXQ y TROJ_SMALL.MEZ se ocultan dentro de archivos ZIP protegidos con contraseñas. WORM_AUTORUN.PB sigue la ruta de “archivo adjunto” similar, mientras que TROJ_DLOADR.HR se descarga después de que el receptor haga clic en una URL contenida dentro del correo electrónico de spam.

Ha habido una reducción en el código malicioso con antivirus falso con sólo tres muestras de entrada en la lista (TROJ_FAKEAV.KX, TROJ_RENOS.AMC, y TROJ_RENOS.AOH). Sin embargo, este mes se observó un incremento en las variantes de ZBOT y BANKER que roban información, la mayoría afecta a las personas que comienzan a comprar online durante la temporada navideña.

Presa Fresca: Compañías Falsas en Ataques de Phishing
En octubre Abbey National PLC pasó del 8 en septiembre al puesto número uno, superando a Bank of America, PayPal, y eBay. El número uno del mes pasado, Wachovia, se colocó en segundo lugar, seguido de Lloyds TSB.

Las 10 Compañías Falsas en Ataques de Phishing
1. Abbey National PLC 6. HSBC
2. Wachovia 7. eBay
3. Lloyds TSB 8. Ocean Bank
4. Bank of America 9. Halifax Bank
5. PayPal 10. ANZ Bank

Dieciocho nuevas compañías también fueron falsificadas durante octubre.

Nuevas Compañías Falsas en Ataques de Phishing
1. AMP Banknet 7. Bank of Scotland Halifax 13. Lloyds of TSB (Spain)
2. Banco Galicia 8. Canada Revenue Agency 14. Melrose Cooperative Bank
3. Banco Ganadero 9. City of Boston Credit Union 15. Merchants National Bank
4. Banco Mercantil 10. Conventry Credit Union 16. Ocean Bank
5. Bank 21 11. Eastern Bank 17. SMH Federal Credit Union
6. BANKINTER 12. Fidelity Investments 18. Western Corporate Federal Credit Union

La Comisión de Comercio Federal (FTC) de Estados Unidos emitió una advertencia formal contra la amenaza que representa el phishing debido a los cambios en el mercado financiero. Los phishers han aprovechado las fusiones y adquisiciones de bancos provocadas por la crisis financiera global y los usuarios pueden estar en mayor riesgo debido a las tácticas de medio en esta época inestable de la historia.

Lo más numeroso: spam, spam, spam
Estados Unidos sigue siendo el país con más spam del mundo. La siguiente tabla muestra la lista de los países con más spam, el 24% de los receptores fueron de Estados Unidos:

La cantidad de spam detectada por Trend Micro en la República de Corea se redujo un 28%. Canadá, que no había figurado entre los diez primeros países el mes pasado, hoy ocupa el quinto puesto. El ataque de spam farmacéutico canadiense de octubre pudo haber contribuido a esto. España, también ausente en la lista de septiembre, entra en el octavo lugar. Junto con Brasil, estos países destacan por su desafortunado avance en la lista de este mes.

El idioma del spam sigue siendo el inglés, utilizado en el 85% del total de spam detectado en octubre:

Una Red complicada: las amenazas Web siguen aumentando
En octubre Trend Micro recibió un promedio de 2.869 millones de consultas diarias de URLs, un ligero incremento respecto a septiembre. De estas, casi 4,097 millones o el 0,14278% de URLs enviadas fueron maliciosas y han sido bloqueadas por Trend Micro Smart Protection Network (lo que supone más de un millón de URLs que en septiembre)

Mientras tanto, Estados Unidos recuperó el primer lugar como el país que hospeda las URLs más maliciosas, después de haber sido desplazado por China durante tres meses. Esta oleada tiene lugar después de la elección presidencial de Estados Unidos, un evento excelente para los ciber criminales. Los clientes de Trend Micro accedieron a 48,17 millones de URLs maliciosas de Estados Unidos – un incremento del 96,22% respecto al mes pasado. China también registró un importante avance llegando hasta los 38,90 millones respecto a los 25,94 millones de visitas en septiembre.

Los clientes de Trend Micro de China fueron los principales objetivos de las URLs maliciosas en octubre, elevándose a 27,52 millones de los 19,66 millones previos. Estados Unidos está en segundo lugar con 26,95 millones. Japón ha pasado al tercer lugar, pero por un breve margen con 25,84 millones – de los 15,50 de septiembre. En octubre hubo un incremento del 70,97% de URLs maliciosas hasta llegar a los 106,421 millones, frente a los 62,25 millones del mes pasados.

FUENTE

En las últimas horas hemos recibido una alta cantidad de consultas de usuarios latinoamericanos sobre un mensaje de error que “Generic host process for win32 service error” que aparece al iniciar la computadora.

Esto posiblemente se debe a una infección con el gusano detectado por ESET NOD32 como Win32/Conficker.A que ha registrado una alta tasa de propagación en los últimos días a través del puerto 445 y explotando una vulnerabilidad solucionada por Microsoft el pasado 23 de octubre, oportunidad en la que apareció el Gusano Gimmiv. A continuación se puede ver el aumento de tráfico en el puerto mencionado, a través informes de ISC SANS.

En ese momento recomendamos instalar inmediatamente la actualización crítica MS08-067 desde el sitio de Microsoft. En este momento volvemos a sugerir lo mismo en forma urgente. Tal y como indica Microsoft, la actualización se debe instalar en cualquiera de estos sistemas vulnerables.

* Microsoft Windows 2000 Service Pack 4
* Windows XP Service Pack 2
* Windows XP Service Pack 3
* Windows XP Professional x64 Edition
* Windows XP Professional x64 Edition Service Pack 2
* Windows Server 2003 Service Pack 1
* Windows Server 2003 Service Pack 2
* Windows Server 2003 x64 Edition
* Windows Server 2003 x64 Edition Service Pack 2
* Windows Server 2003 with SP1 for Itanium-based Systems
* Windows Server 2003 with SP2 for Itanium-based Systems
* Windows Vista and Windows Vista Service Pack 1
* Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
* Windows Server 2008 for 32-bit Systems
* Windows Server 2008 for x64-based Systems
* Windows Server 2008 for Itanium-based Systems

Debido a que la actualización no ha reportado problemas, por favor instalela en sus sistemas y filtre adecuadamente el puerto 445 en su Firewall. Mientras tanto, los usuarios de ESET NOD32 siempre estuvieron protegidos, debido a que detectamos el gusano desde el primer momento.

FUENTE

Ayer jueves 23, Microsoft lanzó, fuera del ciclo que corresponde al segundo martes de cada mes, la actualización MS08-067 (958644) clasificada como crítica ya que una vulnerabilidad en el protocolo RPC permite la ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo.

En palabras sencillas, alguien puede ejecutar el código que desee en nuestro sistema (Windows 2000, XP, 2003, 2008, Vista) sin que nosotros nos enteremos de esa acción.

Esta actualización se lanzó debido a que ya se había publicado una PoC (Proof of concept) para la vulnerabilidad, con lo cual se sabía que no tardaría en aparecer un código dañino que la aproveche para infectar masivamente millones de usuarios (generalmente un gusano).

Esta suposición no tardó en confirmarse ya que en este momento existe al menos un gusano que se está aprovechando de la vulnerabilidad para infectar sistemas. El ejecutable detectado por ESET NOD32 como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll) en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento.

Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado.

El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser:

* Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
* Usuarios y contraseñas de Microsoft Outlook Express
* Contraseñas almacenas en Microsoft Internet Explorer
* Cookies y otros métodos de autenticación
* Archivos deseados por el atacante

La forma de programación del malware es genérica lo cual indica que no ha sido diseñado para un objetivo determinado sino para infectar masivamente a cualquier usuario, por lo que es altamente recomendable actualizar de inmediato y utilizar un sistema antivirus capaz de detectarlo, como ESET NOD32.

FUENTE