Exploit.JS.Pdfka.asd
Технические детали
Программа-эксплоит,
использующая для своего выполнения на компьютере пользователя
уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF
документом содержащим сценарии языка Java Script. Имеет размер 9787
байт.
Деструктивная активность
Вредоносный
PDF документ содержит в себе два сжатых потока данных, которые, после
открытия документа, распаковываются и представляют собой
обфусцированный сценарий Java Script. Для выполнения вредоносного кода
эксплоит использует уязвимости, которые существуют при обработке метода
getAnnots Doc (CVE-2009-1492) и при вызове функции
Collab.collectEmailInfo() (CVE-2007-5659), в продуктах Adobe Reader и
Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При запуске
сценария эксплоит проверяет версию продукта, затем специально формирует
шеллкод, в результате выполнения которого происходит загрузка файла,
который располагается по следующему URL:
http://i*****iai.nfo/cgi-bin/ae/eHa4538836V0100f070006R00000000102Tef4ed0ff021l0409
Данный файл загружается в каталог хранения временных файлов текущего пользователя под случайным именем:
%Temp%\.exe
На момент создания описания ссылка не работала.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном
компьютере зависит от способа, которым программа попала на компьютер).
- Обновить Adobe Reader и Adobe Acrobat до последних версий.
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp % \
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|
