RSS-каналы
Уровень опасности: 1
Exploit.Win32.Pidief.ddl
| Время детектирования | 23 ноя 2010 18:37 MSK |
| Время выпуска обновления | 24 ноя 2010 00:00 MSK |
| Описание опубликовано | 04 фев 2011 13:02 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 15177 байт.
Деструктивная активность
После открытия вредоносного PDF документа, эксплоит использует Adobe XML Forms для запуска на выполнение обфусцированного вредоносного Java Script, который содержит в себе основную часть кода эксплоита. Затем вредонос использует уязвимость в библиотеке "icucnv36.dll", выполняя переполнение буфера, которое возникает при вызове уязвимого метода одной из функций utrie_set32_3_6() и utrie_setRange32_3_6(). При успешной эксплуатации уязвимости, эксплоит выполняет загрузку файла, который располагается по ссылке:
http://flo***g.info/nte/avorp1vena.exe/yUa89f46e4Hcca4793eV0 4f04753003R00000000102T8043eeb7Q00000000901800F0067010a J16000601l08093290и сохраняет его во временный каталог текущего пользователя с именем:
%Temp%\ciJe.dllЗатем вредонос, при помощи командной строки, запускает вредоносную библиотеку:
regsvr32 -s %Temp%\ciJe.dllНа момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Выполнить в командной строке команду:
regsvr32 -u %Temp%\ciJe.dll
- Очистить каталог:
%Temp%\
- Установить обновления: http://www.adobe.com/support/security/bulletins/apsb10-07.html
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.
Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.
Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.
Exploit.
- Trojan:
Exploit-PDF. pt. gen (McAfee) - Troj/PDFJs-ML (Sophos)
- Exploit.
JS-10 (ClamAV) - Exploit:
Win32/Pidief. BZ (MS(OneCare)) - Exploit.
PDF. 1654 (DrWeb) - PDF/Exploit.
Pidief. PDS. Gen trojan (Nod32) - Exploit.
PDF-JS. Gen (BitDef7) - JS.
Pdfka. Gen. 25 (VirusBuster) - JS:
ScriptSH-inf [Trj] (AVAST) - Exploit.
Win32. Pidief (Ikarus) - Exploit_c.
RQA (AVG) - Trojan.
Pidief (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- TROJ_PIDIEF.
SMZB (TrendMicro) - JS.
Pdfka. Gen. 25 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей