Descripción

Gusano de correo masivo incrustado en documentos PDF. No contiene ninguna rutina destructiva. El virus solo afecta a aquellas personas que tengan instalados el Outlook y la versión completa del Adobe Acrobat. Este virus no funciona con el Adobe Acrobat Reader(versión de distribución gratuita).

Se trata del primer gusano de internet que utiliza archivos PDF (Adobe Acrobat) para enviarse por correo electrónico, aunque no posee ninguna rutina maliciosa ya que fué creado como una prueba de concepto (proof-of-concept), esto es, para demostrar que es posible incluir rutinas maliciosas en un formato hasta ahora considerado seguro por los usuarios.

Características del mensaje de e-mail:

Asunto:(El asunto puede ser cualquiera de los siguientes:)

- You have one minute to find the peach
- Find the peach
- Find
- Peach
- Joke

En algunos casos inserta el texto "Fw:" al principio, para hacer pensar que es un reenvío (Forward) de la persona que lo envía. También puede insertar el caracter "!" (exclamación) al final.

Cuerpo: (El cuerpo puede ser cualquiera de los siguientes:)

- Try finding the peach
- Try this
- Interesting search
- I don't usually send this things, but...

Archivo Adjunto: Junto al mensaje se adjunta un archivo que puede tener alguno de los siguientes nombres:

find.pdf
peach.pdf
find the peach.pdf
find_the_peach.pdf
joke.pdf search.pdf

----------------------------------------

Cuando se ejecuta el archivo adjunto, en un sistema con cualquier versión completa de Adobe Acrobat instalado, se mostrará una pantalla que simula un juego, con la leyenda "You have un minute to find the peach!".

Debajo de este texto, aparece un gráfico compuesto por una cuadrícula de 18x13 con miniaturas de traseros desnudos. A continuación, se nos invita a hacer doble clic en un icono para ver la solución del juego. Si se pulsa el icono, comenzará la ejecución del gusano, que viaja adjunto en el archivo PDF.

Programado en Visual Basic Script, este archivo puede tener extensión .vbs, .vbe o .wsh, y puede tener varias versiones aunque su funcionamiento interno es casi el mismo en cualquiera de ellas. Primero crea un archivo gráfico PEACH.JPG en el directorio temporal del Windows ( por defecto es \Windows\Temp), el cual es mostrado al usuario para hacerle creer que la ejecución de la "broma" termina allí, mientras que en realidad, el gusano sigue realizando sus acciones.

En ese momento, comienza la recolección de direcciones de correo electrónico del sistema, a través de la libreta de direcciones, y otros métodos, manteniendo siempre un límite máximo de 100 direcciones, que incluye en un mismo mensaje, en el campo de Copia Oculta (CCO), al que adjunta el archivo PDF original, y lo envía.

Además, crea una clave en el registro de Windows con la siguiente información: HKLM\Software\OUTLOOK.PDFWorm\Default="Version 1.* By Zulu"

Al terminar, elimina el archivo PDF, como el PEACH.JPG y el mensaje con el que se envío al resto de los usuarios. No posee ninguna rutina maliciosa, como es usual en las creaciones del autor del virus, conocido como Zulu.

Detección y eliminación:
The Hacker 5.0 con registro al 08/08/2001

Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú