Un reciente estudio de la firma de seguridad Cybereason ha revelado un fallo a la hora de procesar determinados formatos de icono que, usado junto a un problema con la caché de iconos de Windows, permitiría a cualquier PE (Portable Ejectutable) modificar la representación de su icono de programa para simular un documento benigno o cualquier otro icono de sistema.

La técnica parece haber sido utilizado por variantes del ransomware “Cerber” entre otros, y técnicamente se basa en un fallo de los sistemas Windows a la hora de manejar iconos en formato “True Monochrome”. En vez de cargar el icono original presente dentro del ejecutable, el sistema carga un representación totalmente diferente basándose en la caché de Iconos de Windows, como se puede ver en el vídeo ilustrativo:

El fallo reportado a Microsoft, estaría presente en la clase 'CImageList' de la librería comctl32.dll afectando a todas las versiones de Windows desde la 7 hasta la presente Windows 10.

Como medida general de protección, recordamos activar siempre la opción de mostrar la extensión de fichero en el explorador de Windows.

José Mesa

[email protected]