RSS-каналы
Уровень опасности: 1
Exploit.Win32.Pidief.ddn
| Время детектирования | 14 дек 2010 15:42 MSK |
| Время выпуска обновления | 14 дек 2010 21:42 MSK |
| Описание опубликовано | 08 сен 2011 16:00 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Файл представляет собой PDF документ, содержащий XFA (XML Forms Architecture) форму, которая хранит в себе вредоносный шелл-код. Имеет размер 2655 байт.
Деструктивная активность
Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой XFA форму. Вредонос использует уязвимость, которая возникает из-за переполнения буфера при некорректной обработке аргументов в "libtiff.dll" (CVE-2010-0188), для выполнения загрузки файла, который располагается по ссылке:
http://on***al.me/smoke//drop.php?e=Adobe-90-2010-0188
Затем вредонос сохраняет файл в рабочем каталоге с именем:
%WorkDir%\update.exe
После успешного сохранения - запускает загруженный файл на исполнение. На момент создания описания ссылка не работала. Также вредонос создает в рабочем каталоге бинарный файл с вредоносным шелл-кодом:
%WorkDir%\Version
Файлу устанавливается атрибут "Скрытый". Уязвимыми являются продукты Adobe Reader и Acrobat 8 (до версии 8.2.1) и 9 (до версии 9.3.1).
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%WorkDir%\update.exe %WorkDir%\Version
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Выполнить обновление продуктов Adobe Reader и Acrobat или установить обновления:
http://www.adobe.com/support/security/bulletins/apsb10-07.html
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: e8c8732c3de6e8617747bc229fca14ea
SHA1: a0fd602797945304e649eaf8edf9a7b4655f2996
Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.
Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.
Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.
Exploit.
- Troj/PDFJs-II (Sophos)
- Exploit:
Win32/CVE-2010-0188 (MS(OneCare)) - Exploit.
PDF. 2157 (DrWeb) - Exploit.
TIFF. Gen (BitDef7) - PDF:
CVE-2010-0188 [Expl] (AVAST) - Exploit/CVE-2010-0188.
A (Norman)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей