RSS-каналы
Уровень опасности: 1
Exploit.JS.Pdfka.agu
| Время детектирования | 15 окт 2009 11:06 MSK |
| Время выпуска обновления | 15 окт 2009 16:05 MSK |
| Описание опубликовано | 20 дек 2010 17:59 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF-документом содержащим сценарии языка Java Script. Имеет размер 17524 байта.
Деструктивная активность
Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит использует уязвимости, которые существуют при обработке методов util.printf (CVE-2008-2992), Collab.GetIcon (CVE-2009-0927), а также уязвимость (CVE-2007-5659) в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При успешной эксплуатации уязвимости, эксплоит загружает из сети Интернет файл по следующей ссылке:
http://www.el***tr.com/dm/load.php?e=2На момент создания описания файл не загружался.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Установить обновления:
http://www.adobe.com/support/security/bulletins/apsb09-04.html
http://www.adobe.com/support/security/bulletins/apsb09-06.html
http://www.adobe.com/support/security/bulletins/apsb08-13.html
http://www.adobe.com/support/security/advisories/apsa09-07.html - Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.
Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.
Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.
Exploit.
- Trojan:
Exploit-PDF. q. gen (McAfee) - Troj/PDFEx-BP (Sophos)
- Mal/JSBO-Gen (Sophos)
- Exploit.
PDF-2274 (ClamAV) - PDF/Pidief.
T (FPROT) - Exploit:
Win32/Pdfjsc. BH (MS(OneCare)) - Exploit:
Win32/Pdfjsc. BI (MS(OneCare)) - Exploit.
PDF. 609 (DrWeb) - Exploit.
JavaScript. 21 (DrWeb) - Trojan.
Script. 244179 (BitDef7) - JS:
Pdfka-NS [Expl] (AVAST) - Exploit.
JS. Pdfka (Ikarus) - Downloader (NAV)
- NseCheckFile2() returned 0x00010018 (Norman)
- Hack.
Exploit. Script. JS. Bucode. k (Rising) - Exploit.
JS. Pdfka. agu [AVP] (FSecure) - JS_PIDIEF.
SMLE (TrendMicro) - Exploit.
PDF-JS. Gen (v) (Sunbelt)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей