15 abr 2011

Cirugía a un PDF malicioso

Las formas utilizadas para distribuir malware hoy en día se basan en la explotación de vulnerabilidades dentro de ciertas aplicaciones. Por lo general, las aplicaciones explotadas son aquellas que los usuarios más utilizan ya que, de esta forma, logran infectar a un mayor número de equipos. Imagino que todos, o muchos, de ustedes han leído alguna vez un documento en formato PDF y utilizado el popular Acrobat Reader. Más allá de que esta aplicación no es el único lector gratuito de este tipo archivos, aún así es el más popular.

Considerando lo explicado anteriormente, se imaginaran que dicha plataforma es muy atacada en búsqueda de posibles exploits. A la fecha existen varios ejemplos, ya que este formato permite la ejecución de JavaScript, entre otros lenguajes, el cual es muy utilizado para distribuir dichos exploits gracias a su gran versatilidad y posibilidad de ofuscación.

En este post les vamos a mostrar un archivo PDF malicioso por dentro y luego procederemos a desofuscarlo, mostrándoles, en cada instancia, cómo obtenemos el código original del exploit.
A continuación pueden observar el código del archivo PDF malicioso. La parte inferior del mismo fue cortada por temas de espacio, pero, para que se lo imaginen, posee aproximadamente 170 lineas más de código ofuscado:

Contenido completo en ESET Latinoamérica

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!