world_end

En la mañana del pasado día 20 de Diciembre del presente año, el miembro de SophosLabs en Vancouver, Scott Sitar, alertaba de un malware escondido en una presentación PowerPoint llamada “Will the world end in 2012?”.

El archivo PowerPoint, contiene un macro en Visual Basic que ejecuta un fichero llamado VBA[X], donde [X] es una letra mayúscula aleatoria. De hecho, la funcionalidad del  macro es idéntica al de una hoja de cálculo de Microsoft Excel descubierta con un malware a principios de la semana pasada por otros investigadores de Sophos Labs que generaba rompecabezas de Sudoku para ayudar a pasar el tiempo.

También como el generador de Sudoku, este ejemplo requiere al usuario habilitar las macros, pero no incluye el consejo sobre cómo hacerlo o realmente una buena razón que cualquiera necesite una macro para aprender sobre el fin de los tiempos.

officemacrobytearray

¿Qué están haciendo estas macros? Están diseñadas para construir un archivo válido de Windows PE (Ejecutable Portable) desde matrices de bytes individuales.

owly

Aunque esta técnica no es particularmente nueva, la mayoría de los usuarios promedio no comprenderán que son estas macros y ni se molestaran en intentar abrirlos y echarles un vistazo.

El fichero EXE es lo que se llama un dropper. Extrae otro archivo Windows PE que descarga la foto de un búho, y después se pone en contacto con un servidor de comando y control. Está diseñado para descargar otro archivo Windows PE pero durante las pruebas de Sophos Labs no se enviaron instrucciones desde el servidor de comando y control para recuperar esta carga.

Scott menciono sus sospechas de que estaban siendo generados automáticamente y no necesariamente hechos a mano por sus creadores. Posiblemente tenga razón.

Los investigadores de Sophos Labs han podido acceder a la presentación de PowerPoint, después de limpiar las peligrosas macros. No intente buscar esta presentación! La presentación sobre el fin del mundo fue creada por un predicador en Estados Unidos que parece no tiene nada que ver con el malware. Su legítimo blog en la plataforma WordPress ha sido comprometido y ahora está realizando manipulación de los motores de búsqueda para vendedores de Viagra, casinos, fraudes de divisas y prestamos sobre el día de pago online, en fin negocios poco respetables.

seoonwp

Si quiere saber lo que dice la presentación puede acceder a ella sin correr riesgos, viéndolo online aquí. (No está disponible en el momento de publicar el post)

Mientras que los virus de macro, desde luego, no son un fenómeno nuevo, no son algo en lo que mucha gente piensa.

Tenga mucho cuidado con documentos que adquiere de fuentes al azar y nunca habilite los macros en documentos descargados  o recibidos como archivos adjuntos de correo electrónico.

Nunca se sabe lo que podría estar al acecho allí, pero el autor sospecha que no será el fin del mundo.

El anti-virus de Sophos en todas las plataformas detecta y bloquea los malware detectados  en la presentación del Power Point como:

• El macro malicioso para Office: WM97/ExeDrop-G
• El malware para Windows descargado: Troj/DwnLdr-KLB

Traducción: Velcro

Fuente: nakedsecurity