08/08/01

NOTICIAS

Archivos PDF, foco de infección


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Zulu, un desarrollador argentino de virus informáticos, crea OUTLOOK.PDFWorm, un gusano que se inserta en archivos pdf y se distribuye utilizando nuevas funciones de Outlook

Uno de los pocos formatos que los usuarios tenían como seguros eran los de extensión .PDF de Adobe Acrobat, pues bien ahora ni siquiera se pueden fiar de éstos porque Zulu, un desarrollador argentino, ha demostrado que pueden transportar gusanos, según ha apuntado Richard Smith, principal tecnólogo de la Privacy Foundation, una entidad sin ánimo de lucro. Para ello el argentino ha creado un virus de laboratorio sin carga destructiva que se conoce con el nombre de OUTLOOK.PDFWorm y que además presenta una novedad al utilizar funciones de Outlook no explotadas hasta la fecha por ningún otro gusano. Sin embargo, hay que tener en cuenta que presenta algunas limitaciones de diseño. Para que pueda infectar el PC se debe haber instalado el Outlook y una versión completa de Acrobat, no funciona con Acrobat Reader.

Su rutina empieza con un mensaje de correo electrónico que aparece en nuestro Outlook que lleva un archivo adjunto. El asunto, el texto y el nombre del archivo pueden variar puesto que la elección de los mismos se produce al azar. El asunto que elige es uno de éstos: "You have one minute to find the peach!", "Find the peach", "Joke", "Find" o "Peach". Mientras el cuerpo del mensaje puede recoger alguno de los siguientes textos: "Try finding the peach", "Try this", "Interesting search" o "I don´t usually send this things, but...". En cuanto al nombre del archivo adjunto puede ser "find.pdf", "peach.pdf", "find the peach.pdf", "find_the_peach.pdf", "joke.pdf" y "search.pdf".

El virus se presenta como un juego. El usuario debe encontrar en un minuto un melocotón escondido entre otras muchas fotos de traseros de mujeres. A continuación se invita al usuario a hacer doble clic en un icono si quiere ver la solución. En ese momento, se activa el gusano escrito en Visual Basic Script que va oculto en el archivo PDF. No obstante, es necesario tener instalado la versión completa de Adobe Acrobat, en el caso de no ser así el gusano no podrá llevar a cabo su propósito y aparecerá un mensaje de error indicando que algunas funciones no están disponibles y no dejará al usuario ver la solución.

Si el PC tuviera instalado Adobe Acrobat se ejecuta el gusano del que existen tres versiones que realizan las mismas funciones: 1.0 en VBS, 1.1 en VBE y 1.2 en WSF. El virus comienza entonces su rutina de propagación para lo que localiza primero el archivo PDF en el que se va a adjuntar. Posteriormente busca direcciones de correo a las que autoreenviarse pero aplicando una técnica nunca antes puesta en marcha por otro gusano. Recorre las carpetas del Outlook y todos los contactos de la libreta de direcciones (de cada contacto coge las tres primeras direcciones) hasta recopilar un máximo de cien. Tiene la capacidad de evitar duplicados y no propagarse dos veces desde un mismo sistema, además borra el mensaje una vez enviado y el archivo .PDF de la carpeta temporal buscando evitar que el usuario lo detecte.

El creador define este gusano como un buen ejemplo de ingeniería social. "Este tipo de archivo sería enviado manualmente por aquellos usuarios que nunca se cansan de enviar chistes estúpidos", apunta Zulu en su página web. La moraleja que queda tras conocer este nuevo virus que afecta a archivos PDF es, una vez más, guardar la curiosidad en un cajón y sacarla una vez que se haya pasado el anti-virus convenientemente actualizado a todos los mensajes de correo electrónico.


Copyright © VIRUSPROT.COM