Desde el día de ayer se están recibiendo multitud de correos no deseados, los cuales adjuntan un archivo con extensión PDF aparentemente normal:
Al ejecutar el archivo adjunto, Adobe nos muestra el siguiente mensaje, donde se puede comprobar que va a ejecutarse un archivo llamado script.vbs, el cual provoca la infección que aprovecha una vulnerabilidad ya conocida de Adobe para colocar un script dentro de un PDF y ejecutarlo:
Si analizamos este script, vemos que se ejecutan los siguientes archivos:
game.exe, batscript.vbs y script.vbs.
En esta ejecución, el archivo game.exe se copia en C:\program files\microsoft common\svchost.exe y modifica el registro. De esta forma, asegura su ejecución cada vez que se inicia el proceso explorer.exe. Además de ello, el propio script borra las posibles huellas que halla podido dejar en el sistema para hacer más difícil su detección.
Para evitar infectarnos a través de esta vulnerabilidad, desde Ontinet.com, aconsejamos realizar los siguientes pasos, además de disponer de una protección antivirus actualizada:
Dentro de la aplicación Adobe, acceder al menú Edición – Preferencias… – Administrador de confianza y, una vez allí, desmarcar la opción “Permitir la ejecución de archivos adjuntos no PDF con aplicaciones externas”, tal y como se observa en la imagen:
Además de ello, en el campo Javascript de esta misma ventana, hay que desactivar la opción “Activar Javascript para Adobe”.
David Sánchez