WMFMaker es un programa que permite crear imágenes en formato WMF (Windows MetaFile), que aprovechan una vulnerabilidad crítica en Graphics Rendering Engine. Esta radica en el tratamiento de Windows 2003/XP/2000/Me/98 de los archivos WMF (Windows Meta File), por lo que se encuentran afectadas todas aquellas aplicaciones -como Internet Explorer y Outlook- que puedan procesar este tipo de ficheros.
En la práctica, con WMFMaker pueden crearse imágenes que ejecuten cualquier tipo de código malicioso -como troyanos, gusanos o cualquier otro tipo de malware- en el ordenador afectado por el mencionado problema de seguridad.
Las imágenes WMF maliciosas creadas por WMFMaker pueden ser distribuidas mediante diversos métodos como, por ejemplo, alojándola en una página web y convenciendo a usuarios de que la visiten. Si la víctima utiliza Internet Explorer, al visitar la web maliciosa puede provocarse la ejecución automática de código arbitrario. Sin embargo, si se utiliza otro navegador diferente, el usuario puede ser advertido de la descarga del archivo.
La siguiente amenaza es Gaobot.LTL , gusano que para difundirse utiliza los siguientes métodos: por correo electrónico; a través de Internet, explotando las vulnerabilidades LSASS, RPC DCOM, WebDAV y UPnP; por redes de ordenadores; mediante programas de intercambio de archivos punto a punto (P2P); a través de AOL Instant Messenger (AIM) y de IRC.
Gaobot.LTL se conecta a diversos servidores IRC para recibir órdenes de control remoto (como obtener contraseñas del ordenador, lanzar ataques de Denegación de Servicio, escanear direcciones IP, etc.). También impide acceder a páginas web pertenecientes a empresas de seguridad informática lo que, por ejemplo, puede conllevar que los programas antivirus no se actualicen, dejando así el equipo vulnerable a los ataques de nuevos ejemplares de malware.
El informe de amenazas, presentado por Panda Software, concluye con Mytob.MF, gusano que se propaga a través del correo electrónico, en un mensaje escrito en inglés y de características variables, que incluye el archivo Abuse_Seport.zip. Para conseguir difundirse al mayor número posible de equipos este código malicioso utiliza técnicas de Ingeniería Social. En concreto, el mensaje en el que se envía simula proceder de un departamento de denuncias y acusa a quien lo recibe de haber cometido actos ilegales con su ordenador.
Cuando se descomprime y, a continuación, se ejecuta el archivo Abuse_Seport.zip, Mytob.MF se instala en el equipo, en el que lleva a cabo varias acciones, como buscar -en determinados ficheros del ordenador- direcciones de correo electrónico, a las que envía una copia suya. Además, finaliza procesos en memoria correspondientes a diversas aplicaciones de seguridad, e impide el acceso a varias páginas web que pertenecen, entre otras, a empresas antivirus.
