Tal como lo leen. PDF Infectados por virus. Hasta ahora los documentos PDF tenían una cierta solvencia respecto al peligro de abrirlos pues no era campo abonado de contaminación por virus.
En la noticia que les comentamos a continuación se pone en evidencia, una vez más que el formato del documento no es garantía de seguridad.
En el Blog de SATINFO (www.satinfo.es), se nos detalla la siguiente noticia ...
"Websense Security Labs ™ ha recibido varios informes de una campaña de propagación de una variante de Zbot a través de correo electrónico. Hasta ahora hemos visto sobre 2200 mails.
Este Zbot es un troyano que recopila datos confidenciales de cada equipo infectado para robarle la información. El principal vector de propagación de Zbot es una campaña de spam donde se engañó a los destinatarios en la apertura de los archivos adjuntos infectados en su equipo.
Esta nueva variante utiliza un archivo malintencionado de PDF que contiene la amenaza como un archivo incrustado. Cuando los destinatarios abren el PDF, se les pide guardar un archivo que se llama Royal_Mail_Delivery_Notice.pdf. El usuario asume, falsamente, que el archivo es sólo un PDF y, por lo tanto, seguro para almacenar en el equipo local. Sin embargo, el archivo, realmente es un ejecutable de Windows. El PDF malintencionado inicia el archivo interrumpido, tomando el control del equipo. En el momento de escribir este archivo tiene una tasa de detección de antivirus de solo 20% (SHA1:f1ff07104b7c6a08e06bededd57789e776098b1f).
La amenaza crea un subdirectorio dentro de la carpeta de sistema con el nombre “lowsec” y los archivos “local.ds” y “user.ds”. Se trata de archivos de configuración para la amenaza. También se copia a sí mismo en la carpeta de sistema como “sdra64.exe” (como otros muchas variantes de ZBOT) y modifica la entrada del registro “%SOFTWARE%\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” para ser lanzado durante los proximos reinicios del sistema. Cuando se ejecuta, inyecta el código malintencionado en el proceso del Winlogon.exe en memoria. Esta variante se conecta remotamente a un servidor de ZBOT en China utilizando una dirección IP de 59.44. [XXX]. [XXX]: 6010. "
Y que se puede hacer?. La solución es disponer de una buena solución de Software Antivirus que se actualice de forma automática en todos los ordenadores de la red. Recuerde que si no están todos igualmente protegidos es como dejar una puerta abierta de una fortaleza inexpugnable.
Desconfíe de los PDF anónimos.
No hay comentarios:
Publicar un comentario