Rynho Zeros Web

Publicidad

Nombre: W32/Yourde.A
Tipo: Virus de archivos PDF
Alias: Win32.Yourde, PDF.Yourde, W32.Yourde, W32/Yourde
Fecha: 1/may/03
Plataforma: Windows 32-bit
Tamaño: 237 bytes, 643 bytes

Este virus solo infecta archivos que son abiertos y grabados
en la versión completa de Adobe Acrobat v5.0.5 bajo Windows.
No funciona en otras plataformas (Macintosh por ejemplo),
aunque si puede transportar el virus a otro sistema entre
diferentes plataformas. Tampoco funciona en las versiones
gratuitas del lector de Adobe (Acrobat Reader), ni realiza
ninguna acción maliciosa en el sistema.

Se trata de una “prueba de concepto”, que demuestra que es
posible la infección y propagación de un virus desde archivos
.PDF por este método, aunque ya existen antecedentes de virus
en este formato. Los archivos son infectados al ser grabados por Adobe Acrobat.

PDF (Portable Document Format), es un popular formato para
transporte de documentos, creado por Adobe.

El virus explota una vulnerabilidad en Acrobat, que permite
que un código JavaScript embebido en un archivo PDF se pueda
copiar a si mismo en la carpeta de los plug-ins del programa.

Cuando se ejecuta Adobe Acrobat, todos los plug-ins son
ejecutados automáticamente.

Cuando un archivo infectado es abierto, el virus libera dos
archivos en la carpeta de los plug-ins:

C:Program FilesAdobeAcrobat 5.0AcrobatPlug_insDeath.api
C:Evil.fdf

El primero es un DLL creado en la carpeta de los plug-ins, y
contiene el código que infecta nuevos archivos PDF, copiando
en éstos los dos archivos.

El segundo es un archivo del tipo “Acrobat comment file”, que
se copia en el raíz de la unidad C, y es el encargado de
liberar los dos archivos mencionados para repetir el ciclo.

Aunque el virus copia los dos archivos relacionados en todo
archivo abierto por Adobe Acrobat, la infección solo
permanecerá si ese archivo es grabado por el usuario (Guardar
o Guardar como). Cada vez que un archivo infectado es
grabado, vuelve a infectarse.

El código del virus contiene el siguiente texto:

Your_Death

Si Ud. utiliza Adobe Acrobat 5.0.5 en su sistema, instale el
parche o actualice a una versión superior.

Para limpiar un sistema infectado, ejecute un antivirus
actualizado.

* Más información:

Virus en archivos .PDF obliga a parche para Adobe Acrobat

http://www.vsantivirus.com/vul-adobe-virus.htm

* Artículos relacionados:

OUTLOOK.PDFWorm. Primer gusano del mundo en PDF

http://www.vsantivirus.com/peachy-pdfworm.htm

Virus en archivos PDF

http://www.vsantivirus.com/pdf.htm

Ya son una realidad los virus en archivos PDF

http://www.vsantivirus.com/08-08-01.htm

Ejecución de código remoto en KDE con archivos PS/PDF

http://www.vsantivirus.com/vul-kde-ps-pdf.htm

Linux vulnerable a código malicioso en archivos PDF

http://www.vsantivirus.com/28-09-02.htm

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Publicidad

Otros articulos que te pueden interesar

• Ejecución de código remoto en Adobe Acrobat y Reader
• Revelación de información en Adobe Reader y Acrobat
• Revelación de archivos en Adobe Acrobat y Reader
• Nuevo Adobe Acrobat Reader 7.0.3
• Actualizaciones de seguridad para Adobe Reader y Acrobat