• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Primer gusano del mundo en PDF

Primer gusano del mundo en PDF

7 agosto, 2001 Por Hispasec Deja un comentario

Hispasec descubre OUTLOOK.PDFWorm, el primer gusano que se presenta en
un archivo PDF (Portable Document Format), el conocido formato de
Adobe Acrobat. No es la única novedad: este espécimen se distribuye
utilizando funciones de Outlook nunca vistas antes en un gusano.
Aunque es un virus de laboratorio que apenas ha visto la luz, se trata
de una importante semilla que puede hacer proliferar este tipo de
virus insertados en archivos PDF, un formato hasta ahora considerado
seguro por los usuarios.

Diseñado como prueba de concepto, este gusano no está optimizado para
su distribución masiva. Entre otras limitaciones de diseño, es
necesario que el usuario a infectar tenga instalado Outlook y una
versión completa de Acrobat, ya que no funciona sólo con Acrobat
Reader, que es la aplicación de distribución gratuita que la mayoría
de los usuarios suele tener instalada.

El desarrollador de este gusano es Zulu, un argentino ampliamente
conocido en el mundo vírico por sus constantes innovaciones en el
sector de los i-worms, autor entre otros de «BubbleBoy», «Freelinks»,
«The_Fly», «Monopoly» y «Life_Stages». A continuación vamos a
describir algunas de las funcionalidades más destacadas de
OUTLOOK.PDFWorm.

Así llega…

El creador se ha tomado algunas molestias para dotar a este espécimen
de cierto polimorfismo en su aspecto a primera vista. El gusano nos
puede llegar adjunto en un correo electrónico con uno de los
siguientes textos que elige al azar para componer el asunto, cuerpo y
nombre de archivo con el que se envía:

Asunto (elegido al azar entre):

«You have one minute to find the peach»
«Find the peach»
«Find»
«Peach»
«Joke»

Con una probabilidad del 50%, el asunto puede ir precedido de la
cadena «Fw:» para simular un reenvío y/o con el signo «!» al final,
mientras que existe una posibilidad de 1 entre 3 de que el texto del
asunto vaya escrito en mayúsculas en su totalidad.

Cuerpo (elegido al azar entre):
«Try finding the peach»
«Try this»
«Interesting search»
«I don’t usually send this things, but…»
[o el texto elegido para el asunto]

Al igual que con el asunto, el gusano puede realizar algunas
modificaciones en el cuerpo del mensaje, como comenzar con la cadena
«> «, convertir todo el texto en mayúsculas o terminar con el signo de
exclamación «!». Por último, con una probabilidad del 80%, puede
incluir alguno de los siguientes emoticones: » :-)», » :)», » =)» o
» :-]».

El nombre del archivo adjunto se elige entre los siguientes:
«find.pdf»
«peach.pdf»
«find the peach.pdf»
«find_the_peach.pdf»
«joke.pdf»
«search.pdf»

Con una probabilidad de 1 entre 3, el nombre del archivo puede
aparecer en mayúsculas o, con esa misma probabilidad, escribir en
mayúscula sólo la primera letra.

Intenta engañarnos simulando un juego…

Cuando el usuario abre el archivo adjunto, para lo que necesita tener
instalado Acrobat, puede visualizar una pantalla que simula un juego
a manera de broma:

«You have un minute to find the peach!»
[¡Tienes un minuto para encontrar el melocotón!]

Debajo de este texto, aparece un gráfico compuesto de cuadrícula de
18×13 con miniaturas de traseros desnudos. Puede ver la imagen en
http://www.hispasec.com/pdfworm.gif

A continuación, se nos invita a hacer doble clic en un icono para ver
la solución del juego, lo que en realidad activará el gusano, escrito
en Visual Basic Script, que viaja adjunto en el archivo PDF.

Por último, encontramos una nota que intentará impedir que el usuario
ejecute el script desde una versión incompleta de Adobe Acrobat, como
es el caso de Acrobat Reader.

«Note: Acrobat full version (not Acrobat Reader) is needed to show de
solution.»

Si se intenta ejecutar desde Acrobat Reader, el gusano no puede llevar
a cabo su acción y aparecen mensajes de error indicando que algunos
métodos o funciones no están disponibles.

El gusano toma el control…

Si el usuario tiene la versión completa de Adobe Acrobat y hace doble
clic en el icono, se ejecuta el gusano desarrollado en Visual Basic
Script. Existen tres versiones que se diferencian principalmente en la
extensión y uso de cifrado según el formato utilizado: 1.0 en VBS
(Visual Basic Script), 1.1 en VBE (VBScript Encoded) y 1.2 en WSF
(Windows Script File), pero todas realizan prácticamente las mismas
funciones.

La primera acción del gusano, para no alertar al usuario y seguir la
simulación del supuesto juego, consiste en crear un archivo .JPG y
mostrar esta imagen, que puede ver en http://www.hispasec.com/pdfworm2.gif

Después, el gusano comienza su rutina de propagación, para lo que
primero debe localizar el archivo PDF en el que viajar adjunto. Esto
se hace necesario porque Adobe Acrobat utiliza un directorio temporal
de Windows para almacenar y ejecutar el archivo adjunto recibido
inicialmente (el .VBS, .VBE o .WSF según versión), y el gusano no
conoce la trayectoria exacta de la ubicación del PDF en el que
viajaba.

Para localizar el archivo, el virus utiliza como referencia la
extensión y el tamaño, buscando archivos PDF entre 168.230 y 168.250
bytes. En el código del gusano encontramos dos rutinas para este
procedimiento, una que utiliza Word en el caso de que el usuario lo
tenga instalado en el sistema y que consigue realizar la búsqueda en
todas las unidades existentes, mientras que la otra rutina, si no se
utilizan las funciones de Word, busca recursivamente en los
directorios a través de código en Visual Basic Script.

Rutina de propagación…

Una vez localizado el archivo PDF en el que viajará adjunto, el gusano
busca las direcciones de correo a las que autoenviarse. El método
utilizado es otra de las innovaciones nunca vista en otro espécimen,
y que se diferencia de la típica rutina basada en objetos de Outlook
que pusiera de moda Melissa. En esta ocasión, se recorren todas las
carpetas de Outlook y todos los contactos de la libreta de direcciones
(buscando hasta las tres primeras direcciones de cada contacto),
reuniendo en una variable dimensionada todas las direcciones de correo
electrónico detectadas.

A continuación, realiza un filtrado de todas las direcciones
recolectadas en la variable dimensionada para evitar duplicados y
también filtra la dirección del usuario ya infectado que recoge de la
configuración SMTP existente en el registro de Windows. Mantiene un
límite máximo de 100 mensajes por infección y evita propagarse dos
veces desde un mismo sistema, para lo que deja la siguiente marca
en el registro de Windows que indicará la infección:

HKLM\Software\OUTLOOK.PDFWorm\»Version 1.x. By Zulu»

El número máximo de las 100 direcciones recolectadas se incluye en el
campo CCO (con copia oculta) de un mensaje de correo electrónico cuyas
características (asunto, cuerpo y archivo adjunto) ya se han descrito
al principio de este análisis. Por último, se asegura de borrar el
mensaje una vez enviado, así como el archivo PDF situado en la carpeta
temporal, para evitar que el usuario los detecte.

Últimas consideraciones…

Cómo suele ser habitual, Zulu no ha incluido ninguna rutina
destructiva. El objetivo del gusano consiste en demostrar la
posibilidad de que los archivos PDF puedan contener virus, troyanos
u otro código dañino.

A partir de ahora, los usuarios deberán de extremar las precauciones
con los archivos PDF no solicitados, mientras que los programas
antivirus tendrán que soportar un nuevo formato para proteger a sus
usuarios. Hasta la fecha ninguna de estas aplicaciones es capaz de
detectar este gusano, ni mucho menos limpiar un equipo infectado.

Bernardo Quintero
bernardo@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR