Технические детали
Программа-эксплоит, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 5926 байт.
Деструктивная активность
Вредоносный PDF документ, содержащий в себе сжатые потоки данных, которые, после открытия документа, распаковываются и представляют собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эсплоит использует уязвимости, которые существуют при обработке методов "media.newPlayer" (CVE-2009-4324), при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.2, 8.1.7 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает файл по ссылке:
http://gold***okolade.co.cc/mzwkbpnm/forum.php?view=allpdf
На момент создания описания ссылка не работала.
При успешной загрузке скачанный файл записывается во временный каталог текущего пользователя под именем:
%Temp%/a.exe
После чего запускается на выполнение и эксплоит завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%Temp%/a.exe
- Очистить каталог Temporary Internet Files.
- В случае использования продуктов Adobe Reader или Adobe Acrobat, выполнить обновление приложений до актуального состояния.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
