Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Exploit.JS.Pdfka.ciu

Exploit.JS.Pdfka.ciu

Время детектирования	25 май 2010 08:31 MSK
Время выпуска обновления	25 май 2010 17:59 MSK
Описание опубликовано	02 июл 2010 10:47 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Adobe Reader и Adobe Acrobat. Является PDF-документом, содержащим сценарии языка JavaScript. В зависимости от модификации имеет размер около 45 КБ.

Деструктивная активность

При открытии зараженного документа на компьютер пользователя загружаются два файла по определенным ссылкам. Ссылки для загрузки изменяются в зависимости от модификации. Например:

http://be***d.info/cgi-bin/class.phtml/
n002106204r0019Xf6b76607Ybd4df4fbZ0100f06030dP00000108

http://be***kdd.info/cgi-bin/class.phtml/
n002106204r0019Xf6b76607Ybd4df4fbZ0100f060317P00000108

http://IP***c.info/cgi-bin/mor/
n00a102801r0019J14000601Rf6736ebdXd130c112Y9aca6392Z03003f3630dP00000108

http://i***.info/cgi-bin/mor/
n00a102801r0019J14000601Rf6736ebdXd130c112Y9aca6392Z03003f36317P00000108

http://lo***.lt/info/us1.html/
n002106204r0019X86db5ea1Ycd270074Z0100f06030dP00000108

http://lo***.lt/info/us1.html/
n002106204r0019X86db5ea1Ycd270074Z0100f060317P00000108

http://vip***17.com/cgi-bin/cooler.aspx/
n002106204r0019X86db739bYcd270074Z0100f06030dP00000108

http://vip***17.com/cgi-bin/cooler.aspx/
n002106204r0019X86db739bYcd270074Z0100f060317P00000108

На момент создания описания ссылки не работали.

Для своей работы эксплоит использует уязвимость переполнения буфера в Adobe Reader и Adobe Acrobat – CVE-2007-5659.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Exploit

Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.

Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.

Другие модификации

Другие названия

Exploit.JS.Pdfka.ciu («Лаборатория Касперского») также известен как:

Mal/PDFJs-P (Sophos)
JS/Exploit.Pdfka.OCR.Gen trojan (Nod32)
Exploit.PDF-JS.Gen (BitDef7)
JS:Pdfka-AGI [Expl] (AVAST)
Win32:Agent-AKYA [Trj] (AVAST)
sawibal_com.PDF__6683 <<< EXP/Pidief.45612 (AVIRA)
EXP/Pidief.45612 (AVIRA)
Exploit.JS.Pdfka.ciu [AVP] (FSecure)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com