SANTIAGO.- Como OUTLOOK.PDFWorm se denomina al primer gusano que se presenta en un archivo PDF (Portable Document Format)de Adobe Acrobat, descubierto por la empresa Hispasec.
Según informó la empresa este espécimen se distribuye utilizando funciones de Outlook nunca vistas antes en un gusano.
Aunque es un virus de laboratorio, se trata de una importante semilla que puede hacer proliferar este tipo de virus insertados en archivos PDF, un formato hasta ahora considerado seguro por los usuarios.
Diseñado como prueba de concepto, este gusano no está optimizado para su distribución masiva. Entre otras limitaciones de diseño, es necesario que el usuario a infectar tenga instalado Outlook y una versión completa de Acrobat, ya que no funciona sólo con Acrobat Reader, que es la aplicación de distribución gratuita que la mayoría de los usuarios suele tener instalada.
El desarrollador de este gusano es Zulu, un argentino ampliamente conocido en el mundo vírico por sus constantes innovaciones en el sector de los i-worms, autor entre otros de "BubbleBoy", "Freelinks", "The_Fly", "Monopoly" "Life_Stages".
Según señaló Hispasec, el creador se tomó algunas molestias para dotar a este espécimen de cierto polimorfismo en su aspecto a primera vista. El gusano puede
llegar adjunto en un correo electrónico con diferentes textos que elige al azar para componer el asunto, cuerpo y nombre de archivo con el que se envía.
Algunos "Asuntos" los elige al azar entre frases o palabras como: "You have one minute to find the peach", "Find the peach", "Find", "Peach", "Joke", etc.
Con una probabilidad del 50%, el asunto puede ir precedido de la cadena "Fw:" para simular un reenvío y/o con el signo "!" al final, mientras que existe una posibilidad de 1 entre 3 de que el texto del asunto vaya escrito en mayúsculas en su totalidad.
Al igual que con el asunto, el gusano puede realizar algunas modificaciones en el cuerpo del mensaje, como comenzar con la cadena "> ", convertir todo el texto en mayúsculas o terminar con el signo de exclamación "!".
El nombre del archivo adjunto se elige entre los siguientes: "find.pdf", "peach.pdf", "find the peach.pdf", "find_the_peach.pdf"
"joke.pdf", "search.pdf".
Con una probabilidad de 1 entre 3, el nombre del archivo puede aparecer en mayúsculas o, con esa misma probabilidad, escribir en mayúscula sólo la primera letra.
Virus simula juego
De acuerdo a lo informado por Hispasec cuando el usuario abre el archivo adjunto, para lo que necesita tener instalado Acrobat, puede visualizar una pantalla que simula un juego a manera de broma: "You have un minute to find the peach!"
Debajo de este texto, aparece un gráfico compuesto de cuadrícula de 18x13 con miniaturas de traseros desnudos.
A continuación, se invita a hacer doble clic en un icono para ver la solución del juego, lo que en realidad activará el gusano, escrito en Visual Basic Script, que viaja adjunto en el archivo PDF.
Por último, es posible encontrar una nota que intentará impedir que el usuario
ejecute el script desde una versión incompleta de Adobe Acrobat, como es el caso de Acrobat Reader. "Note: Acrobat full version (not Acrobat Reader) is needed to show de solution."
Si se intenta ejecutar desde Acrobat Reader, el gusano no puede llevar a cabo su acción y aparecen mensajes de error indicando que algunos métodos o funciones no están disponibles.
Si el usuario tiene la versión completa de Adobe Acrobat y hace doble clic en el icono, se ejecuta el gusano desarrollado en Visual Basic Script. Existen tres versiones que se diferencian principalmente en la extensión y uso de cifrado según el formato utilizado.
La primera acción del gusano, para no alertar al usuario y seguir la simulación del supuesto juego, consiste en crear un archivo .JPG y mostrar una imagen.
Después, el gusano comienza su rutina de propagación, para lo que primero debe localizar el archivo PDF en el que viajar adjunto. Esto se hace necesario porque Adobe Acrobat utiliza un directorio temporal de Windows para almacenar y ejecutar el archivo adjunto recibido inicialmente (el .VBS, .VBE o .WSF según versión), y el gusano no conoce la trayectoria exacta de la ubicación del PDF en el que viajaba.
Para localizar el archivo, el virus utiliza como referencia la extensión y el tamaño, buscando archivos PDF entre 168.230 y 168.250 bytes.
En el código del gusano hay dos rutinas para este procedimiento, una que utiliza Word en el caso de que el usuario lo tenga instalado en el sistema y que consigue realizar la búsqueda en todas las unidades existentes, mientras que la otra rutina, si no se utilizan las funciones de Word, busca recursivamente en los directorios a través de código en Visual Basic Script.
