Solución del sexto Desafío de ESET

En el Sexto Desafío de ESET se trataba de probar que cualquier archivo puede ser dañino, por más inofensivo que parezca. Tal y como indicaron muchos usuarios en los comentarios, el archivo HTML y PDF suministrado, debían “trabajar” en conjunto para llegar a la solución.

1. El archivo ingles.htm, a través de un script en VisualBasic, generaba un nuevo archivo archivo a.vbs en el directorio raíz de la unidad c:. Luego, al abrir el archivo latin.pdf suministrado, este ejecutaba el archivo VBS generado, el cual mostraba el mensaje “ESPECTACULAR!” en pantalla. Si se invertía la apertura de los archivos, al no haberse generado el archivo a.vbs, el documento PDF arrojaba un error al intentar abrirlo.

Para llegar a esas conclusiones simplemente debían abrirse los archivos ofrecidos con un editor de texto y visualizar su contenido, o bien, mediante prueba y error se llegaría al mismo resultado.

2. Las condiciones son las siguientes:

  • Abrir el archivo ingles.htm en Internet Explorer y con permisos administrativos, ya que de lo contrario no se genera el archivo a.vbs
  • Permitir la ejecución de scripts en el navegador por el mismo motivo anterior
  • Permitir la apertura de archivos externos y scripts en los lectores de archivos PDF (como Adobe Reader, Foxit, etc.) ya que de lo contrario no se ejecutaría el archivo VBS

3. Las condiciones anteriores prueban que al utilizar permisos administrativos en un sistema, un simple archivo HTML y PDF son suficientes para ejecutar código (que podría ser dañino) en el equipo del usuario. Como puede apreciarse, ninguno de los dos códigos en complicado y sin embargo podrían lograr comprometer el sistema.

4. Algunas de las medidas básicas a tener en cuenta para evitar lo sucedido son:

  • No utilizar el sistema con permisos administrativos
  • No dar permiso de ejecución a scripts desconocidos en el navegador
  • Restringir la escritura de archivos en zonas críticas del sistema, lo cual también se puede lograr restringiendo los permisos administrativos
  • Denegar la ejecución de scripts en las aplicaciones, en este caso en el lector de archivos PDF
    • Para hacer esto en Adobe Reader ir a Edición -> Preferencias -> Javascript y desmarcar la opción Activar Javascript para Acrobat
    • Además también se puede deshabilitar la apertura de archivos externos desde Edición -> Preferencias -> Administrador de confianza y desmarcar la opción Permitir la apertura de archivos adjuntos no PDF con aplicaciones externas
  • Utilizar productos de seguridad reconocidos en el mercado como ESET NOD32 y ESET Smart Security evitando descargar cualquier tipo de programa o aplicación de sitios desconocidos

Como puede verse, es sencillo comprometer un sistema con un poco de imaginación y unas cuantas líneas de código. Teniendo en cuenta que los creadores de malware no sólo intentarán escribir un mensaje en pantalla, sería bueno tener todas las recomendaciones en cuenta.

El ganador en esta oportunidad es Darío L., quien contestó todas las preguntas y en primera instancia por lo que estará recibiendo la Licencia como de costumbre.

Felicitaciones a todos los participantes por la excelente repercusión y nos vemos en el próximo.

Cristian

Autor , ESET

  • Aunque no participé de este concurso quería saber si, ante un código malicioso de estas características, ESET SMART SECURITY protegería mi equipo o no. Les hago esta pregunta para saber si tener en cuenta o no las recomendaciones ofrecidas en el punto número 4.

    Saludos.

    Marcos

    • Hola Marcos Dames:

      Efectivamente ESET analizará cada archivo abierto detectando amenazas en scripts, páginas web, PDF, MP3, etc. De cada una de esas amenazas puedes encontrar ejemplos concretos de detección en este mismo Blog. De todas formas siempre es mejor tener en cuentas las recomendaciones y ESET NOD32 activado.

      Cristian

  • Armando Barreda

    Hola estimados de Eset estaria bueno que los desafios fuesen un poco mas complejos y que no se tarden solo 5 minutos en resolverlos.

    Aca lo resuelve el desafio el que se entera primero y no quien tenga un gran conocimiento.

    Imagino que los desafios son para que conozcamos los diferentes formas de infeccion que existen. pero si en verdad es un desafio estaria que asi lo fuese.

    lo mas probable es que no publiquen este mensaje.

    por favor desafios que lleven dias en resolver investigar y demás.

    saludos.

    • Hola Armando Barreda:

      Efectivamente los desafíos son para que el público entienda el mundo del malware y por eso los desafíos no son tan complejos, (dependiendo quien los lea) pero tendremos en cuenta tu opinión en el futuro cercano.

      Cristian

Síguenos