RSS-каналы
Уровень опасности: 1
Exploit.JS.Pdfka.cjv
| Время детектирования | 29 май 2010 12:01 MSK |
| Время выпуска обновления | 29 май 2010 19:01 MSK |
| Описание опубликовано | 24 сен 2010 15:58 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 9737 байт.
Деструктивная активность
Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит использует уязвимости переполнения буфера, которые существуют при обработке методов util.printf (CVE-2008-2992), Collab.GetIcon (CVE-2009-0927) в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При успешной эксплуатации уязвимости, эксплоит загружает из сети Интернет файл по следующей ссылке:
http://anz***em.com//_M1S3ibOr-l.php/e3b70407b699d596029ce5a52f70fd32?spl=pdf_28На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Установить обновления:
http://www.adobe.com/support/security/bulletins/apsb09-04.html
http://www.adobe.com/support/security/bulletins/apsb09-06.html
http://www.adobe.com/support/security/bulletins/apsb08-13.html
http://www.adobe.com/support/security/advisories/apsa09-07.html - Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.
Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.
Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.
Exploit.
- Trojan:
Generic Downloader. x!ebu (McAfee) - Mal/TDSSPack-AF (Sophos)
- Troj/PDFJs-JS (Sophos)
- Trojan.
VB-22056 (ClamAV) - Trj/Autoit.
gen (Panda) - W32/MalwareF.
KAMG (FPROT) - PWS:
Win32/Zbot (MS(OneCare)) - Trojan.
DownLoad2. 12424 (DrWeb) - Trojan.
PWS. Panda. 304 (DrWeb) - Trojan.
Siggen1. 37268 (DrWeb) - Trojan.
PWS. IpDiscover. 4 (DrWeb) - Trojan.
DownLoad1. 50077 (DrWeb) - Trojan.
DownLoad1. 58938 (DrWeb) - Exploit.
PDF. 873 (DrWeb) - Win32/Adware.
OneStep. J application (Nod32) - JS/Exploit.
Pdfka. OAE trojan (Nod32) - Trojan.
Generic. 3843273 (BitDef7) - Exploit.
PDF-JS. Gen (BitDef7) - JS.
Obfuscated. Gen. 1 (VirusBuster) - JS:
Pdfka-AGP [Expl] (AVAST) - BHO.
Win32. Zwangi (Ikarus) - browserzinc139.
exe. exe <<< ADSPY/AdSpy. Gen2 (AVIRA) - EXP/Pdfk.
cjv. 9737 (AVIRA) - Trojan.
Gen (NAV) - Heuristic.
ADH (NAV) - W32/Agent.
UTSB (Norman) - Trojan.
Win32. Generic. 52239E9F (Rising) - Trojan.
Win32. Ircbrute (Sunbelt) - JS.
Obfuscated. Gen. 1 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей