Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Exploit.JS.Pdfka.ddt

Exploit.JS.Pdfka.ddt

Время детектирования	23 янв 2011 19:55 MSK
Время выпуска обновления	24 янв 2011 01:47 MSK
Описание опубликовано	25 мар 2011 13:35 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является XFA формой содержащей сценарии языка Java Script. Имеет размер 9166 байт.

Деструктивная активность

Данная XFA форма используется как вставка во вредоносные PDF документы с целью использования уязвимости CVE-2010-0188, позволяющей злоумышленнику выполнять произвольный код на компьютере пользователя. Данная уязвимость затронула продукты Adobe Reader и Acrobat 8 (ранее версии 8.2.1) и 9 (ранее версии 9.3.1). В данном случае XFA форма, выполняя переполнение буфера, загружает файл, который располагается по ссылке:

http://videoyahoo.info/tre/boba.html/yH91e5b471V03f01336002R9
3bf7c87102Tdcd9ec9eQ0000004c901801F0066010aJ17000601l0015329

и сохраняет его во временный каталог текущего пользователя с именем:

%Temp%\VxHc.exe

После успешного сохранения запускает файл на исполнение. На момент создания описания ссылка не работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
```
%Temp%\VxHc.exe
```
Очистить каталог Temporary Internet Files:
```
%Temporary Internet Files%
```
Выполнить обновления продуктов Adobe Reader и Acrobat или установить обновления:
http://www.adobe.com/support/security/bulletins/apsb10-07.html
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Exploit

Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.

Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.

Другие модификации

Другие названия

Exploit.JS.Pdfka.ddt («Лаборатория Касперского») также известен как:

Trojan: Exploit-PDF.pt.gen (McAfee)
Troj/PDFJs-ML (Sophos)
Exploit.JS-10 (ClamAV)
JS/Crypted.NS (FPROT)
Exploit:Win32/Pdfjsc.LV (MS(OneCare))
Exploit.PDF.1654 (DrWeb)
JS/Exploit.Pdfka.OPH trojan (Nod32)
Exploit.JS.Pdf.AK (BitDef7)
JS:ScriptSH-inf [Trj] (AVAST)
Exploit.JS.Pdfka (Ikarus)
Exploit_c.TTH (AVG)
Trojan.Pidief (NAV)
NseCheckFile2() returned 0x00010018 (Norman)
TROJ_PIDIEF.SMZB (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com