Durante esta semana Peter Szabo y Richard Wang de SophosLabs descubrieron un malware oculto en una hoja de Microsoft Excel que generaba Sudokus.
Esta mañana, otro miembro de SophosLabs, Scott Sitar, alertaba de otro malware escondido en una presentación PowerPoint llamada “Will the world end in 2012?”.
Como en el fichero Excel, éste contiene un macro en Visual Basic que ejecuta un fichero llamado VBA[X], donde [X] es una letra mayúscula aleatoria. De hecho, la funcionalidad de los dos macros es idéntica.
También en ambos casos, es necesario que el usuario active los macros, pero no incluye ningún consejo de cómo realizarlo.
¿Qué realizan estos macros? Están diseñados para construir un fichero Windows PE (Portable Executable) válido desde arrays de bytes.
Pese a que esta técnica no es nueva, la mayoría de los usuarios no entenderán nada relativo a los macros y ni se preocuparan en intentar abrirlos.
El fichero EXE es lo que llamamos un dropper. Extrae otro fichero Windows PE que descarga la foto de un búho, y después contacta con servidor. En teoría debería descargar otro archivo pero durante nuestros tests no realizo ninguna otra operación.
Scott barajó la idea que fueran generados automáticamente y no diseñados a mano por sus creadores. Posiblemente tenga razón.
Hemos podido acceder a la presentación de PowerPoint, después de limpiar los peligrosos macros. La creó un predicador americano que parece que no tiene nada que ver con el malware. Su blog también ha sido atacado y ahora ayuda a mejorar el SEO para vendedores de Viagra, casinos, y otros negocios poco respetables.
Si quieres saber lo que dice la presentación puedes acceder a ella sin correr riesgos aquí.
Aunque los ataques con macros no son algo nuevo, os recordamos que debéis tenerlos siempre desactivados y desconfiad de los ficheros que os envíen fuentes dudosas por correo electrónico.
El anti-virus de Sophos detecta y bloquea este malware:
• WM97/ExeDrop-G: El macro
• Troj/DwnLdr-KLB: El malware descargado
Dejar un comentario