martes, 30 de octubre de 2007

Cuidado: Malware en PDF

En el día de hoy hemos detectado una gran cantidad de correo con archivos PDF adjuntos. Los mismos contienen el Exploit que hemos venido mencionando desde hace tiempo en Segu-Info y cuya vulnerabilidad ya ha sido aceptada por Microsoft.

Al descargar he intentar ver el archivo PDF, el mismo ejecuta el exploit y abriendo una consola de DOS, se intenta conectar a un FTP para descargar un archivo malicioso.

Esto sucede si el usuario aún no ha instalado la versión de Adobe Reader 8.1.1 que soluciona la vulnerabilidad en este software y hasta que Microsoft solucione la vulnerabilidad en Windows.

Lo recomendable como siempre en estos casos es tener un antivirus, un Firewall (no solo el de Windows XP) y utilizar el sistema operativo sin permisos administrativos para evitar la ejecución de aplicaciones no permitidas.

En la siguiente captura aparece lo que sucede si intentamos abrir el PDF dañino en un Adobe Reader parcheado. Al intentar ejecutar el comando, se abre el cliente de correo por defecto.


En esta otra captura aparece el exploit que se intenta ejecutar: ejecución de cmd.exe, apagado del Firewall de Windows, conexión al FTP, descarga del malware y ejecución del mismo. Todo esto sucede en equipos no parcheados.

Recuerde: los tiempos en que los archivos PDF no eran dañinos quedaron en el tiempo.

Actualización 23.50: algunos antivirus ya detectan el exploit en forma general para prevenir cualquier amenaza relacionada al mismo.
cfb