Trojan.JS.Agent.aoo

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 9654 байта.

Деструктивная активность

Вредоносный PDF документ содержит в себе два сжатых потока данных, которые, после открытия документа, распаковываются и представляют собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эксплоит использует уязвимости, которые возникают:

• при передаче параметров функции " util.printf ()" (CVE-2008-2992);
• при вызове функции Collab.collectEmailInfo() (CVE-2007-5659), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних.

После удачного эксплуатирования уязвимостей, троянец пытается загрузить файл со следующих ссылок:

http://cr***im.cn/img1/load.php?id=4
http://cr***im.cn/img1/load.php?id=5

Файл загружается в каталог хранения временных файлов текущего пользователя под именем:

%Temp%\ pdfupd.exe – имеет размер 177 664 байт.

На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Обновить Adobe Reader и Adobe Acrobat до последних версий.
3. Очистить каталог хранения временных файлов текущего пользователя:

   %Temp % \

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).