Troyanos en archivos PDF

En la última semana se ha comenzado a propagar vía spam gran cantidad de malware en scripts y exploits alojados en archivos PDF especialmente manipulados para ese fín. Este incremento se debe a la reciente publicación, por parte de Adobe, de una actualización crítica en su popular producto Adobe Reader. Aquellos usuarios que no hayan actualizado su sistema son potenciales víctimas de este ataque.

Estos scripts dañinos son utilizados para descargar e instalar malware en el equipo del usuario. Por lo tanto, la posibilidad de detección de un antivirus recae en dos puntos: por un lado detectar el scripts o exploit insertado en el archivo PDF y, por el otro, la detección del malware descargado.

En el primer caso ESET NOD32 detecta proactivamente los archivos manipulados, como variantes del troyano PDF/Exploit.Pidief y, en el segundo, el malware descargado puede ser cualquiera, por lo que dependerá de cada caso.

Por eso, es fundamental actualizar a la última versión de Adobe Reader para evitar ser víctimas de estos exploits y, además contar con un antivirus con capacidades de detección proactiva que permita detectar posibles nuevas variantes de este ataque.

Cristian

Autor , ESET

  • null

    No es por jo*der, pero que manía con meter código en documentos.
    Saludos.

  • Hola, tengo un sitio web, que cuando uno intenta ingresar por su pagina principal, el antivirus nod me detecta un troyano y me pide abortar la conexion, osea que este virus esta en mi pagina o en mi ftp, pero no lo encuentro y no se como solucionarlo, ya que todos los que quieran entrar a mi sitio les va aparecer este virus y no quisiera tener conflictos ni perder usuarios por culpa de este troyano, si alguien me puede dar una mano decirme como hacer para eliminarlo, se agradecera pueden hacer a mi cuenta de correo eban66@hotmail.com

    • Hola Esteban

      Acabo de comprobar tu sitio y efectivamente hay un script ofuscado. El mismo lo puedes ver en tu página de inicio.
      Comienza con

      El mismo apunta a un sitio en China desde donde se descarga un gusano Waledac que ESET NOD32 detecta como una variante de Win32/Waledac.IB Troyano.

      Por favor revisa el código y las posibles formas de ingreso a tu servidor. Este post quizás te sirva.

      Cristian

Síguenos