[escepticos] **Mas sobre el probable virus de PDF

["Alberto Villa" <albertovilla@...>]

Reeenvío la información que me llegara de Hispasec.
Saludos
Alberto Villa

----- Mensaje original -----
De: <noticias en hispasec.com>
>  Primer gusano del mundo en PDF
>  ------------------------------
>
> Hispasec descubre OUTLOOK.PDFWorm, el primer gusano que se presenta
en
> un archivo PDF (Portable Document Format), el conocido formato de
> Adobe Acrobat. No es la única novedad: este espécimen se distribuye
> utilizando funciones de Outlook nunca vistas antes en un gusano.
>
> Aunque es un virus de laboratorio que apenas ha visto la luz, se
trata
> de una importante semilla que puede hacer proliferar este tipo de
> virus insertados en archivos PDF, un formato hasta ahora considerado
> seguro por los usuarios.
>
> Diseñado como prueba de concepto, este gusano no está optimizado
para
> su distribución masiva. Entre otras limitaciones de diseño, es
> necesario que el usuario a infectar tenga instalado Outlook y una
> versión completa de Acrobat, ya que no funciona sólo con Acrobat
> Reader, que es la aplicación de distribución gratuita que la mayoría
> de los usuarios suele tener instalada.
>
> El desarrollador de este gusano es Zulu, un argentino ampliamente
> conocido en el mundo vírico por sus constantes innovaciones en el
> sector de los i-worms, autor entre otros de "BubbleBoy",
"Freelinks",
> "The_Fly", "Monopoly" y "Life_Stages". A continuación vamos a
> describir algunas de las funcionalidades más destacadas de
> OUTLOOK.PDFWorm.
>
>
> Así llega...
>
> El creador se ha tomado algunas molestias para dotar a este
espécimen
> de cierto polimorfismo en su aspecto a primera vista. El gusano nos
> puede llegar adjunto en un correo electrónico con uno de los
> siguientes textos que elige al azar para componer el asunto, cuerpo
y
> nombre de archivo con el que se envía:
>
> Asunto (elegido al azar entre):
>
> "You have one minute to find the peach"
> "Find the peach"
> "Find"
> "Peach"
> "Joke"
>
> Con una probabilidad del 50%, el asunto puede ir precedido de la
> cadena "Fw:" para simular un reenvío y/o con el signo "!" al final,
> mientras que existe una posibilidad de 1 entre 3 de que el texto del
> asunto vaya escrito en mayúsculas en su totalidad.
>
> Cuerpo (elegido al azar entre):
> "Try finding the peach"
> "Try this"
> "Interesting search"
> "I don't usually send this things, but..."
> [o el texto elegido para el asunto]
>
> Al igual que con el asunto, el gusano puede realizar algunas
> modificaciones en el cuerpo del mensaje, como comenzar con la cadena
> "> ", convertir todo el texto en mayúsculas o terminar con el signo
de
> exclamación "!". Por último, con una probabilidad del 80%, puede
> incluir alguno de los siguientes emoticones: " :-)", " :)", " =)" o
> " :-]".
>
> El nombre del archivo adjunto se elige entre los siguientes:
> "find.pdf"
> "peach.pdf"
> "find the peach.pdf"
> "find_the_peach.pdf"
> "joke.pdf"
> "search.pdf"
>
> Con una probabilidad de 1 entre 3, el nombre del archivo puede
> aparecer en mayúsculas o, con esa misma probabilidad, escribir en
> mayúscula sólo la primera letra.
>
>
> Intenta engañarnos simulando un juego...
>
> Cuando el usuario abre el archivo adjunto, para lo que necesita
tener
> instalado Acrobat, puede visualizar una pantalla que simula un juego
> a manera de broma:
>
> "You have un minute to find the peach!"
> [¡Tienes un minuto para encontrar el melocotón!]
>
> Debajo de este texto, aparece un gráfico compuesto de cuadrícula de
> 18x13 con miniaturas de traseros desnudos. Puede ver la imagen en
> http://www.hispasec.com/pdfworm.gif
>
> A continuación, se nos invita a hacer doble clic en un icono para
ver
> la solución del juego, lo que en realidad activará el gusano,
escrito
> en Visual Basic Script, que viaja adjunto en el archivo PDF.
>
> Por último, encontramos una nota que intentará impedir que el
usuario
> ejecute el script desde una versión incompleta de Adobe Acrobat,
como
> es el caso de Acrobat Reader.
>
> "Note: Acrobat full version (not Acrobat Reader) is needed to show
de
> solution."
>
> Si se intenta ejecutar desde Acrobat Reader, el gusano no puede
llevar
> a cabo su acción y aparecen mensajes de error indicando que algunos
> métodos o funciones no están disponibles.
>
>
> El gusano toma el control...
>
> Si el usuario tiene la versión completa de Adobe Acrobat y hace
doble
> clic en el icono, se ejecuta el gusano desarrollado en Visual Basic
> Script. Existen tres versiones que se diferencian principalmente en
la
> extensión y uso de cifrado según el formato utilizado: 1.0 en VBS
> (Visual Basic Script), 1.1 en VBE (VBScript Encoded) y 1.2 en WSF
> (Windows Script File), pero todas realizan prácticamente las mismas
> funciones.
>
> La primera acción del gusano, para no alertar al usuario y seguir la
> simulación del supuesto juego, consiste en crear un archivo .JPG y
> mostrar esta imagen, que puede ver en
http://www.hispasec.com/pdfworm2.gif
>
> Después, el gusano comienza su rutina de propagación, para lo que
> primero debe localizar el archivo PDF en el que viajar adjunto. Esto
> se hace necesario porque Adobe Acrobat utiliza un directorio
temporal
> de Windows para almacenar y ejecutar el archivo adjunto recibido
> inicialmente (el .VBS, .VBE o .WSF según versión), y el gusano no
> conoce la trayectoria exacta de la ubicación del PDF en el que
> viajaba.
>
> Para localizar el archivo, el virus utiliza como referencia la
> extensión y el tamaño, buscando archivos PDF entre 168.230 y 168.250
> bytes. En el código del gusano encontramos dos rutinas para este
> procedimiento, una que utiliza Word en el caso de que el usuario lo
> tenga instalado en el sistema y que consigue realizar la búsqueda en
> todas las unidades existentes, mientras que la otra rutina, si no se
> utilizan las funciones de Word, busca recursivamente en los
> directorios a través de código en Visual Basic Script.
>
>
> Rutina de propagación...
>
> Una vez localizado el archivo PDF en el que viajará adjunto, el
gusano
> busca las direcciones de correo a las que autoenviarse. El método
> utilizado es otra de las innovaciones nunca vista en otro espécimen,
> y que se diferencia de la típica rutina basada en objetos de Outlook
> que pusiera de moda Melissa. En esta ocasión, se recorren todas las
> carpetas de Outlook y todos los contactos de la libreta de
direcciones
> (buscando hasta las tres primeras direcciones de cada contacto),
> reuniendo en una variable dimensionada todas las direcciones de
correo
> electrónico detectadas.
>
> A continuación, realiza un filtrado de todas las direcciones
> recolectadas en la variable dimensionada para evitar duplicados y
> también filtra la dirección del usuario ya infectado que recoge de
la
> configuración SMTP existente en el registro de Windows. Mantiene un
> límite máximo de 100 mensajes por infección y evita propagarse dos
> veces desde un mismo sistema, para lo que deja la siguiente marca
> en el registro de Windows que indicará la infección:
>
> HKLM\Software\OUTLOOK.PDFWorm\"Version 1.x. By Zulu"
>
> El número máximo de las 100 direcciones recolectadas se incluye en
el
> campo CCO (con copia oculta) de un mensaje de correo electrónico
cuyas
> características (asunto, cuerpo y archivo adjunto) ya se han
descrito
> al principio de este análisis. Por último, se asegura de borrar el
> mensaje una vez enviado, así como el archivo PDF situado en la
carpeta
> temporal, para evitar que el usuario los detecte.
>
>
> Últimas consideraciones...
>
> Cómo suele ser habitual, Zulu no ha incluido ninguna rutina
> destructiva. El objetivo del gusano consiste en demostrar la
> posibilidad de que los archivos PDF puedan contener virus, troyanos
> u otro código dañino.
>
> A partir de ahora, los usuarios deberán de extremar las precauciones
> con los archivos PDF no solicitados, mientras que los programas
> antivirus tendrán que soportar un nuevo formato para proteger a sus
> usuarios. Hasta la fecha ninguna de estas aplicaciones es capaz de
> detectar este gusano, ni mucho menos limpiar un equipo infectado.
>
>
>
> Bernardo Quintero
> bernardo en hispasec.com
>
>