Exploit.Win32.Pidief.cvl
Технические детали
Программа-эксплоит,
использующая для своего выполнения на компьютере пользователя
уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF
документом содержащим сценарии языка Java Script. Имеет размер 37854
байта.
Деструктивная активность
Вредоносный
PDF документ содержит в себе два сжатых потока данных, которые, после
открытия документа, распаковываются и представляют собой
обфусцированный сценарий Java Script. Для выполнения вредоносного кода
эксплоит использует уязвимости, которые существуют при обработке метода
getAnnots Doc (CVE-2009-1492) и при вызове функции
Collab.collectEmailInfo() (CVE-2007-5659), а также при обработке U3D
объекта (CVE-2009-2994), в продуктах Adobe Reader и Adobe Acrobat
версий 9.1, 8.1.4, 7.1.1 и более ранних. При запуске сценария эксплоит
проверяет версию продукта, затем специально формирует шеллкод, в
результате выполнения которого происходит загрузка файла, который
располагается по следующему URL:
http://****ito.info/cgi-bin/cnf
?eHff8c42cfV0100f060006R00000000102Tb57b0ca8203l0409K45fb3fec
Данный файл загружается в каталог хранения временных файлов текущего пользователя под случайным именем:
%Temp%\<rnd>.exe
На момент создания описания ссылка не работала.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном
компьютере зависит от способа, которым программа попала на компьютер).
- Установить обновления:
http://www.adobe.com/support/security/bulletins/apsb09-06.html
http://www.adobe.com/support/security/bulletins/apsb08-13.html
http://www.adobe.com/support/security/bulletins/apsb09-15.html
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp % \
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник
|
