Descargar.ject

En informática , Download.ject (también conocido como Toofer y Scob ) es un programa malicioso para servidores Microsoft Windows . Cuando se instala en un sitio web inseguro que se ejecuta en Microsoft Internet Information Services (IIS), agrega código JavaScript malicioso a todas las páginas que ofrece el sitio.

Download.ject fue el primer caso conocido en el que los usuarios de Internet Explorer para Windows podían infectar sus ordenadores con malware (una puerta trasera y un registrador de pulsaciones de teclas ) simplemente al ver una página web. Saltó a la luz durante un ataque generalizado que comenzó el 23 de junio de 2004, cuando infectó muchos servidores, incluidos varios que alojaban sitios financieros. Los consultores de seguridad comenzaron a promover de forma destacada el uso de Opera ^[1] o Mozilla Firefox en lugar de IE a raíz de este ataque.

Download.ject no es un virus ni un gusano ; no se propaga por sí solo. Se cree que el ataque del 23 de junio se llevó a cabo mediante un escaneo automático de servidores que ejecutaban IIS.

Atentado del 23 de junio de 2004

Los piratas informáticos colocaron Download.ject en sitios web financieros y corporativos que ejecutaban IIS 5.0 en Windows 2000 , aprovechando una vulnerabilidad conocida (existía un parche para la vulnerabilidad, pero muchos administradores no lo habían aplicado). El ataque se detectó por primera vez el 23 de junio, aunque algunos investigadores creen que puede haber estado en marcha desde el 20 de junio.

Download.ject agregó un fragmento de JavaScript a todas las páginas web de los servidores afectados. Cuando se veía una página de un servidor de este tipo con Internet Explorer (IE) para Windows , el JavaScript se ejecutaba, recuperaba una copia de uno de los diversos programas de registro de teclas y puertas traseras de un servidor ubicado en Rusia y lo instalaba en la máquina del usuario, utilizando dos agujeros en IE: uno con un parche disponible, pero el otro sin él. Estas vulnerabilidades estaban presentes en todas las versiones de IE para Windows, excepto la versión incluida en Windows XP Service Pack 2, ^[2] que solo estaba en pruebas beta en ese momento.

Tanto los fallos del servidor como los del navegador habían sido explotados antes de esto. ^{[ cita requerida ]} Sin embargo, este ataque fue notable por combinar los dos, por haber sido colocado en sitios web populares (aunque no se publicó una lista de los sitios afectados) y por la red de sitios comprometidos utilizados en el ataque que supuestamente ascendían a miles, mucho más que cualquier red comprometida anterior.

Microsoft aconsejó a los usuarios cómo eliminar una infección y navegar con la configuración de seguridad al máximo. Los expertos en seguridad también aconsejaron desactivar JavaScript, utilizar un navegador web distinto de Internet Explorer, utilizar un sistema operativo distinto de Windows o no navegar por Internet.

Este ataque en particular fue neutralizado el 25 de junio, cuando se cerró el servidor desde el que Download.ject había instalado una puerta trasera. Microsoft publicó un parche para Windows 2000, 2003 y XP el 2 de julio.

Aunque no se trata de un ataque de gran magnitud en comparación con los gusanos de correo electrónico de la época, el hecho de que casi todas las instalaciones existentes de IE (el 95% de los navegadores web en uso en ese momento) fueran vulnerables, y que éste fuera el último de una serie de agujeros de IE que dejaban vulnerable al sistema operativo subyacente, provocó una notable ola de preocupación en la prensa. Incluso algunos medios de comunicación económicos empezaron a recomendar a los usuarios que cambiaran a otros navegadores, a pesar de que la versión preliminar de Windows XP SP2 era invulnerable al ataque.

Véase también

Guerras de navegadores

Referencias

^ Brenner, Bill (4 de octubre de 2004). «Schneier: Microsoft todavía tiene trabajo por hacer». Schneier on Security . Archivado desde el original el 10 de octubre de 2004. Consultado el 8 de enero de 2007 .
^ "Cambios en la funcionalidad del Service Pack 2 de Microsoft Windows XP: seguridad de navegación mejorada". Microsoft . 22 de marzo de 2004. Archivado desde el original el 30 de abril de 2004.

Enlaces externos

Información técnica

Compromisos en servidores web de IIS 5 (CERT, 24 de junio de 2004)
Sitios web comprometidos infectan a internautas (SANS Internet Storm Center, 25 de junio de 2004)
Análisis del troyano Berbew/Webber/Padodor (LURHQ Threat Intelligence Group, 25 de junio de 2004): análisis del programa de puerta trasera instalado en las computadoras de los usuarios
Lo que debe saber sobre Download.Ject (Microsoft, 24 de junio de 2004)
Declaración de Microsoft sobre el problema de seguridad del código malicioso Download.Ject (Microsoft, 26 de junio de 2004)
Boletín de seguridad de Microsoft MS04-011: Actualización de seguridad para Microsoft Windows (835732) (Microsoft, 13 de abril de 2004): parche para una falla del servidor
Vulnerabilidad de procesamiento de URL MHTML (Common Vulnerabilities and Exposures, 5 de abril de 2004): la falla de IE para la que había un parche disponible en ese momento
Explotación de vulnerabilidad entre zonas en Internet Explorer (Internet Security Systems, 25 de junio de 2004): la falla de IE para la que no había ningún parche disponible en ese momento
Cómo deshabilitar el objeto ADODB.Stream de Internet Explorer (artículo 870669 de Microsoft Knowledge Base): el parche para la segunda falla de IE

Cobertura de prensa

El sitio web de CFCU infecta las computadoras de los clientes de Ithaca (Mark H. Anbinder, 14850 Today, 24 de junio de 2004)
Expertos estudian ataques en Internet (Associated Press, 24 de junio de 2004)
Los investigadores advierten sobre sitios web infecciosos (Robert Lemos, ZDNet, 24 de junio de 2004)
Ataque de virus a sitio web mitigado (Robert Lemos, CNet, 25 de junio de 2004)
Los ataques en Internet se ralentizan (George V. Hulme, Information Week , 25 de junio de 2004)
Virus diseñado para robar datos de usuarios de Windows: cientos de sitios web atacados (Brian Krebs, Washington Post , 26 de junio de 2004, página A01)
Un fallo en Internet Explorer podría impulsar a los navegadores rivales (Robert Lemos y Paul Festa, CNet, 28 de junio de 2004)
¿En qué consiste el nuevo fallo de IE? (Stephen H. Wildstrom, Business Week , 29 de junio de 2004)
Internet Explorer es demasiado arriesgado (Stephen H. Wildstrom, Business Week , 29 de junio de 2004)
¿Han vuelto las guerras de navegadores?: Cómo Firefox de Mozilla supera a Internet Explorer (Paul Boutin, MSN Slate , 30 de junio de 2004)
Bruce Schneier: Microsoft aún tiene trabajo por hacer Archivado el 20 de agosto de 2006 en Wayback Machine. (Bill Brenner, SearchSecurity.com, 4 de octubre de 2004)