RSS-каналы
Уровень опасности: 1
Exploit.Win32.Pidief.cvl
| Время детектирования | 12 ноя 2009 23:24 MSK |
| Время выпуска обновления | 13 ноя 2009 04:06 MSK |
| Описание опубликовано | 25 фев 2010 14:49 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 37854 байта.
Деструктивная активность
Вредоносный PDF документ содержит в себе два сжатых потока данных, которые, после открытия документа, распаковываются и представляют собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эксплоит использует уязвимости, которые существуют при обработке метода getAnnots Doc (CVE-2009-1492) и при вызове функции Collab.collectEmailInfo() (CVE-2007-5659), а также при обработке U3D объекта (CVE-2009-2994), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При запуске сценария эксплоит проверяет версию продукта, затем специально формирует шеллкод, в результате выполнения которого происходит загрузка файла, который располагается по следующему URL:
?eHff8c42cfV0100f060006R00000000102Tb57b0ca8203l0409K45fb3fec
%Temp%\<rnd>.exeНа момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Установить обновления:
http://www.adobe.com/support/security/bulletins/apsb09-06.html http://www.adobe.com/support/security/bulletins/apsb08-13.html http://www.adobe.com/support/security/bulletins/apsb09-15.html
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp % \
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.
Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.
Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.
Exploit.
- Mal/PdfEx-C (Sophos)
- Mal/PDFJs-P (Sophos)
- Exploit.
PDF-10410 (ClamAV) - Exploit.
PDF-22611 (ClamAV) - Exploit/PDF.
Gen. B (Panda) - Exploit:
Win32/Pdfjsc. DE (MS(OneCare)) - Exploit:
Win32/Pdfjsc. CR (MS(OneCare)) - Exploit.
PDF-JS. Gen (BitDef7) - JS.
Pdfka. Gen. 2 (VirusBuster) - Win32:
Agent-AKYA [Trj] (AVAST) - Exploit.
Win32. Pidief (Ikarus) - Exploit.
JS. Pdfka (Ikarus) - Exploit_c.
DLN (AVG) - Exploit (AVG)
- Trojan.
Pidief. H (NAV) - Trojan.
Pidief. G (NAV) - PDF/Exploit.
MT (Norman) - JS/Shellcode.
CI (Norman) - Exploit.
Win32. Pidief. cvl [AVP] (FSecure) - JS_PIDIEF.
SM (TrendMicro) - LooksLike.
PDF. Malware. a (v) (Sunbelt) - Exploit.
PDF-JS. Gen (v) (Sunbelt) - JS.
Pdfka. Gen. 2 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей