Технические детали
Программа-эксплоит, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 61377 байт.
Деструктивная активность
Вредоносный PDF документ, содержащий в себе сжатые потоки данных, которые, после открытия документа, распаковываются и представляют собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эсплоит использует уязвимости, которые существуют при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.3 и более ранних.
При успешной эксплуатации уязвимости, вредонос загружает файл по ссылке:
http://208.***.96/242a38/?c=1&sid=372149b73741e8b0f06951d1a6302083&s=3
На момент создания описания ссылка не работала.
При успешной загрузке скачанный файл записывается во временный каталог текущего пользователя под следующим именем:
%Temp%/rnd1.tmp.exe
Где rnd1 - случайная последовательность цифр и латинских букв.
После чего загруженный файл запускается на выполнение и эксплоит завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%Temp%/rnd1.tmp.exe
Очистить каталог Temporary Internet Files.
- В случае использования продуктов Adobe Reader или Adobe Acrobat, выполнить обновление приложений до актуального состояния.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|