Microsoft lanzó, fuera del ciclo que corresponde al segundo martes de cada mes, la actualización MS08-067 (958644) clasificada como crÃtica ya que una vulnerabilidad en el protocolo RPC permite la ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo.
En palabras sencillas, alguien puede ejecutar el código que desee en nuestro sistema (Windows 2000, XP, 2003, 2008, Vista) sin que nosotros nos enteremos de esa acción.
en este momento existe al menos un gusano que se está aprovechando de la vulnerabilidad para infectar sistemas. El ejecutable detectado por ESET NOD32 como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll) en el sistema con el nombre “System Maintenance Service†y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento.
Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado.
El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser:
- Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
- Usuarios y contraseñas de Microsoft Outlook Express
- Contraseñas almacenas en Microsoft Internet Explorer
- Cookies y otros métodos de autenticación
- Archivos deseados por el atacante
Via el blog de ESET Latinoamérica.
Es en momentos como éste que mas me enorgullezco de usar Mac…
waaa..:S este virus me atako…y lo mato a mi ESET ¬¬’ tuve ke bajarme el avast para matarlo :S ..gracias pro la info…