NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Virus infector de ficheros PDF (Utiliza vulnerabilidad de programa Adobe Acrobat)

 

Nombre de virus: W32/Yourde
Alias conocidos:
-
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)

Propagación: De un documento PDF a otro
Activación: Por apertura desde Adobe Acrobat de fichero PDF infectado
Detección: desde DATS 4260
Motor necesario: desde 4.1.60

Infección actual: Inicial (Inicial, Media, Elevada)

Este virus infecta documentos PDF cuando se utiliza la versión completa de Adobe Acrobat (versión 5.x) para Windows. No afecta a Acrobat Reader. El virus simplemente propaga de un documento a otro y no daña el sistema.

W32/Yourde explota una vulnerabilidad en Acrobat. Más información sobre esta vulnerabilidad y el parche para corregirla en Adobe Acrobat 5.0.5 Security, Accessibility, and Forms patch

El virus exporta su código a disco duro y configura Acrobat para importar dicho código en cada documento PDF que se abra (desde Acrobat). Al guardar un documento en el sistema infectado, este se convierte en portador del virus. Los métodos utilizados por el virus no funcionan en sistemas Macintosh, pero pueden ser portadores del virus si reciben un documento infectado.

Cuando se abre un fichero PDF infectado (con la versión completa de Acrobat), se ejecuta el código javascript incluido en el documento. Este código javascript exporta dos objetos de datos encapsulados a las siguientes carpetas del sistema:

· C:\EVIL.FDF

· %Adobe Plugins Folder%\death.api

Acrobat carga todos los plugins en tiempo de ejecución. Por tanto, la presencia de este fichero API en la carpeta plugins provoca que Acrobat ejecute el código vírico cada vez que se inicia el programa. El plugin death.api contiene código javascript para importar los ficheros EVIL.FDF y death.api en cada documento que se abra enAcrobat.

El virus contiene la cadena Your_Death

 

ELIMINACION:

Los DAT actuales (4262) permiten detectar y eliminar los ficheros EVIL.FDF y death.api generados por el virus. Los documentos PDF infectados también son detectados. Para su reparación se requiere un fichero extra.dat que está disponible a petición. Si recibe la detección de un fichero PDF infectado por w32/Yourde le rogamos envíe una muestra por correo electrónico a sat@satinfo.es.

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 08 de Mayo de 2003

Anterior