27/09/2006 - El HTML/Exploit.VMLFill fue detectado por primera vez el 23 de septiembre. Esta amenaza aprovecha una vulnerabilidad en Microsoft Internet Explorer, detectada el 18 de septiembre, la cual es ocasionada por un error del programa al manejar el lenguaje VML (Vector Markup Language), que provoca un desbordamiento de buffer. La aplicación afectada por esta vulnerabilidad es Internet Explorer 5.0 y cualquier versión superior siendo vulnerables todos los sistemas operativos Windows XP, 2000 y 2003.
El problema se produce en el componente VGX.DLL y Microsoft publicó un aviso de seguridad (Microsoft Security Advisory 925568), donde reconoce el problema, e informa algunas pautas para proteger los equipos vulnerables hasta que se publique un parche (estimado para octubre). El comunicado de Microsoft puede verse en la siguiente dirección: http://www.microsoft.com/technet/security/advisory/925568.mspx
Según reportes del propio Microsoft, la vulnerabilidad está siendo explotada a través de sitios web maliciosos, por medio de páginas HTML modificadas especialmente. Al ser una vulnerabilidad zero-day (explotada previo a la publicación del parche), sin solución inmediata a la vista, la aparición de exploits no se hizo esperar y aprovechándose de estas condiciones, permite instalar otros malware (como troyanos y backdoors) en el sistema afectado.
Desde las primeras horas, la cantidad de exploits y herramientas que aprovecharon la vulnerabilidad ha aumentado y esto ha hecho necesario la creación de una solución genérica capaz de detectar cualquier código que explote el error.
"La aparición de este tipo de vulnerabilidades zero-day y que no son solucionadas de inmediato por las empresas desarrolladoras de la aplicación dan gran libertad de acción a los creadores de malware. Por esto se ha hecho necesario la creación de firmas genéricas que protejan al usuario en todo momento, aún cuando no se actualice el software afectado", dijo el Licenciado Cristian Borghello, Technical & Educational Manager de Eset para Latinoamérica.
Por otro lado, el Win32/Stration comenzó a propagarse por América Latina, aunque en sus comienzos la zona de habla hispana no había sido afectada, ya que su principal fuente de propagación había sido el continente europeo.
El Stration es un gusano de correo electrónico que se envía como adjunto en un mensaje a toda la lista de direcciones del sistema infectado. Además, posee la capacidad de descargar y ejecutar otros componentes de Internet, intenta deshabilitar el acceso a sitios webs relacionados con aplicaciones de seguridad y es capaz de eliminar los procesos correspondientes a estas aplicaciones. Además se han detectado variantes que utilizan la Ingeniería Social para engañar al usuario, como es el caso de las últimas variantes que simulan ser actualizaciones de Microsoft.
Para los usuarios que fueron infectados por este malware, Eset NOD32 desarrolló una herramienta de limpieza de las modificaciones que realiza el Stration en el registro de Windows, la cual puede descargarse desde: http://www.nod32.it/getfile.php?tool=StrationFix
"La masividad que obtuvo el Stration se debe a que cada día se generan cientos de nuevas variantes, lo que le permite pasar inadvertido a los software antivirus sin capacidades de detección proactiva, ya que cada una de estas versiones debe ser incorporada a la base de firmas, y el tiempo que se cuenta para realizar la actualización es cada vez menor", concluyó Borghello.
Eset informó hoy que una nueva variante del exploit de VML continúa propagándose por Internet durante los últimos días, y que nuevas variantes del gusano de correo electrónico Stration comienzan a propagarse por América Latina. 
