Virustotal dice que el archivo está limpio pero a PDFexaminer le resulta sospechoso

1

He pasado algún tiempo leyendo otras preguntas relacionadas con los archivos PDF y explorándolos. PDFExaminer dice que el archivo hace "ofuscación sospechosa usando eval". Estoy usando la última versión de adobe en modo protegido con el java script desactivado, ¿debería preocuparme por este PDF? También tengo malwarebytes instalado en mi PC, que también dice que el PDF está limpio.

    
pregunta smit 11.01.2018 - 22:55
fuente

1 respuesta

1

Dado que PDFExaminer utiliza heurísticas para examinar archivos PDF, es probable que existan falsos positivos. (No estoy seguro exactamente de qué se usa para detectar la "ofuscación" con eval.) Por otra parte, dado que los virustotal y los malwarebytes utilizan predominantemente motores basados en firmas, es probable que existan falsos negativos. Esta combinación te deja, como has notado, en un término medio.

Si necesita leer este PDF y está preocupado, consideraría abrirlo en una máquina virtual. Es poco probable que tengan un exploit de PDF desconocido y un escape de VM (a menos que tenga razones para creer que está siendo atacado por un estado nación).

Si está interesado en obtener más información sobre los archivos PDF maliciosos, revisaría manualmente los detalles de los hallazgos de PDFExaminer y vería qué está haciendo el PDF con eval. Puede ser que sea algún tipo de marca de agua o protección contra copia, lo que (aunque a algunas personas no les gustan esas medidas) no representa un riesgo para la integridad de su PC.

    
respondido por el David 12.01.2018 - 01:59
fuente

Lea otras preguntas en las etiquetas