This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Internet Explorer día cero explotar encontrar en más sitios web. Los dedos apuntan hacia Elderwood Proyecto

Filed Under: Featured, Internet Explorer, Malware, Vulnerability

Paul Baccas, investigador de SophosLabs, ha descubierto dos nuevos sitios que han sido afectados por la recientemente descubierta Internet Explorer día cero vulnerabilidad de ejecución remota de código.

Los ataques tienen todas las características de infecciones previas repartidas por el llamado Proyecto Elderwood .

En primer lugar es un sitio web al servicio del pueblo uigur de Turkestán Oriental:

Uyghur sitio web

Una carpeta llamada "netyanus" se había creado en la página web, que contiene los siguientes archivos:

  • Helps.html
  • deployJava.js
  • news.html
  • robots.txt
  • today.swf
  • xsainfo.jpg

El sitio web ha sido desde entonces limpiada de su infección de malware, pero es evidente que infectan tenía interés en infectar a cualquier persona que visita el sitio.

Productos de Sophos detectan los archivos HTML como Exp/20124792-B.

Alert. Image courtesy of Shutterstock El news.html archivo (detectado como Exp/20124792-A) decodifica la ofuscado día cero código de explotación en el interior de robots.txt y lo ejecuta.

Productos de Sophos detecta el archivo SWF como Troj / SWFExp BF-, el archivo HTML como Exp/20124792-A restante, y el código ofuscado escondido dentro xsainfo.jpg como el caballo de Troya Troj / Agent-ZMC.

Como actualmente no existe un parche para la vulnerabilidad de seguridad de Internet Explorer, es muy probable que una buena proporción de personas que visitan el sitio uigur podría haber terminado con sus ordenadores se infecten.

Si usted no estaba enterado, los uigures del Turquestán Oriental tiene, al igual que los habitantes del Tíbet, mucho tiempo haciendo campaña por la independencia de la República Popular de China y se quejó de la persecución.

Al mismo tiempo, SophosLabs descubrió otro sitio web infectado - esta vez, es el sitio web de una compañía petrolera iraní, con sede en Teherán.

Web Infected petróleo iraní

En el momento de escribir, el portal iraní se siguen llevando a una infección por lo que hemos ocultado algunos de sus detalles en la imagen de arriba.

En esta ocasión, los archivos implantados por el código de los piratas informáticos tomar la forma siguiente:

  • deployJava.js
  • exploit.html
  • news.html
  • robots.txt
  • today.swf
  • xsainfo.jpg

Esperemos que, si usted ha estado prestando atención, algunos de esos nombres será familiar para usted.

Usted no puede estar en el hábito de visitar sitios web relacionados con los uigures, o actualizar los sitios web de las empresas petroleras iraníes ... pero es evidente que algunas personas y organizaciones pueden visitar dichos sitios, y que podría estar en riesgo de que sus ordenadores infectados silenciosamente como resultado.

De todos modos, hasta que el parche apropiado es empujado hacia fuera por Microsoft, los usuarios de Internet Explorer son expuestos a los riesgos de ataques que podrían aprovechar esta vulnerabilidad y se debe tener cuidado para asegurarse de que tienen defensas por capas en lugar de minimizar el riesgo.

Alerta imagen cortesía de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Graham Cluley runs his own award-winning computer security blog, and is a veteran of the anti-virus industry having worked for a number of security companies since the early 1990s. Now an independent security analyst, he regularly makes media appearances and gives computer security presentations. Send Graham an email, subscribe to his updates on Facebook, follow him on Twitter and App.net, and circle him on Google Plus for regular updates.