La Curiosidad como un PDF malicioso
¿Qué haría si viera en su bandeja de entrada, un correo electrónico con un PDF denominado, "Buque de EEUU frustra el segundo ataque pirata Noviembre 18, 2009.pdf"? ¿Le haría picar la curiosidad ese título? ¡Ojalá que no lo suficiente como para hacerle abrir el documento!
Los PDF son lo último en la inquietante linea de explotaciones y malware montados e integrados en PDFs que dañan su computadora. Si es suficientemente desafortunado para abrir el archivo, verá lo que los autores esperan que vea: un archivo denominado "Adobe.pdf" con detalles acerca de una historia real sobre la piratería en la costa Este de África.
Pero detras de eso, ocurren cosas siniestras. El PDF malicioso corre algún JavaScript que explota la s vulnerabilildades del desborde de Adobe Collab (CVE-2007-5659) y el Adobe getIcon (CVE-2009-0927). Esta captura de pantalla muestra el comienzo del flujo de JavaScript comprimido:
Adicionalmente, se descargan dos variantes de ProcKill-EM en la carpeta de sistema de Windows, usualmente C:\Windows\system32.
Como siempre, si recibe un documento - PDF u otro - de alguien que no conoce, no lo abra. Y aún si conoce quien el envía el documento, escanee el archivo con su antivirus actualizado con las últimas firmas antes de abrirlo.
Los clientes de McAfee están protegidos con el 5809 DATs contra las amenazas mencionas arriba, tales como Exploit-PDF.aa y ProcKill-EM. ¡Mantenga sus firmas actualizadas y permanezca asegurado!
Traducción: Raúl Batista - Segu-info
Autor: Karthik Raman
Fuente: McAfee Labs Blog
Los PDF son lo último en la inquietante linea de explotaciones y malware montados e integrados en PDFs que dañan su computadora. Si es suficientemente desafortunado para abrir el archivo, verá lo que los autores esperan que vea: un archivo denominado "Adobe.pdf" con detalles acerca de una historia real sobre la piratería en la costa Este de África.
Pero detras de eso, ocurren cosas siniestras. El PDF malicioso corre algún JavaScript que explota la s vulnerabilildades del desborde de Adobe Collab (CVE-2007-5659) y el Adobe getIcon (CVE-2009-0927). Esta captura de pantalla muestra el comienzo del flujo de JavaScript comprimido:
Como siempre, si recibe un documento - PDF u otro - de alguien que no conoce, no lo abra. Y aún si conoce quien el envía el documento, escanee el archivo con su antivirus actualizado con las últimas firmas antes de abrirlo.
Los clientes de McAfee están protegidos con el 5809 DATs contra las amenazas mencionas arriba, tales como Exploit-PDF.aa y ProcKill-EM. ¡Mantenga sus firmas actualizadas y permanezca asegurado!
Traducción: Raúl Batista - Segu-info
Autor: Karthik Raman
Fuente: McAfee Labs Blog
Saludos
ResponderBorrarYo siempre me dio curiosidad como se infecta con estos codigos java script en adobe reader
por consejos de este blogs uso uno alternativo me va bien