Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Yourde.A. Infecta archivos PDF
 
VSantivirus No. 1030, Año 7, Sábado 3 de mayo de 2003

 W32/Yourde.A. Infecta archivos PDF
http://www.vsantivirus.com/yourde-a.htm

Nombre: W32/Yourde.A
Tipo: Virus de archivos PDF
Alias: Win32.Yourde, PDF.Yourde, W32.Yourde, W32/Yourde
Fecha: 1/may/03
Plataforma: Windows 32-bit
Tamaño: 237 bytes, 643 bytes

Este virus solo infecta archivos que son abiertos y grabados en la versión completa de Adobe Acrobat v5.0.5 bajo Windows. No funciona en otras plataformas (Macintosh por ejemplo), aunque si puede transportar el virus a otro sistema entre diferentes plataformas. Tampoco funciona en las versiones gratuitas del lector de Adobe (Acrobat Reader), ni realiza ninguna acción maliciosa en el sistema.

Se trata de una "prueba de concepto", que demuestra que es posible la infección y propagación de un virus desde archivos .PDF por este método, aunque ya existen antecedentes de virus en este formato. Los archivos son infectados al ser grabados por Adobe Acrobat.

PDF (Portable Document Format), es un popular formato para transporte de documentos, creado por Adobe.

El virus explota una vulnerabilidad en Acrobat, que permite que un código JavaScript embebido en un archivo PDF se pueda copiar a si mismo en la carpeta de los plug-ins del programa.

Cuando se ejecuta Adobe Acrobat, todos los plug-ins son ejecutados automáticamente.

Cuando un archivo infectado es abierto, el virus libera dos archivos en la carpeta de los plug-ins:

C:\Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins\Death.api
C:\Evil.fdf

El primero es un DLL creado en la carpeta de los plug-ins, y contiene el código que infecta nuevos archivos PDF, copiando en éstos los dos archivos.

El segundo es un archivo del tipo "Acrobat comment file", que se copia en el raíz de la unidad C, y es el encargado de liberar los dos archivos mencionados para repetir el ciclo.

Aunque el virus copia los dos archivos relacionados en todo archivo abierto por Adobe Acrobat, la infección solo permanecerá si ese archivo es grabado por el usuario (Guardar o Guardar como). Cada vez que un archivo infectado es grabado, vuelve a infectarse.

El código del virus contiene el siguiente texto:

Your_Death

Si Ud. utiliza Adobe Acrobat 5.0.5 en su sistema, instale el parche o actualice a una versión superior.

Para limpiar un sistema infectado, ejecute un antivirus actualizado.


Más información:

Virus en archivos .PDF obliga a parche para Adobe Acrobat
http://www.vsantivirus.com/vul-adobe-virus.htm


Artículos relacionados:

OUTLOOK.PDFWorm. Primer gusano del mundo en PDF
http://www.vsantivirus.com/peachy-pdfworm.htm

Virus en archivos PDF
http://www.vsantivirus.com/pdf.htm

Ya son una realidad los virus en archivos PDF
http://www.vsantivirus.com/08-08-01.htm

Ejecución de código remoto en KDE con archivos PS/PDF
http://www.vsantivirus.com/vul-kde-ps-pdf.htm

Linux vulnerable a código malicioso en archivos PDF
http://www.vsantivirus.com/28-09-02.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS