Exploit.JS.Pdfka.cdo


Описание
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Размер - 4593 байта.


Деструктивная активность
Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит использует уязвимости, которые существуют при обработке методов util.printd(), Doc.media.newPlayer (CVE-2009-4324), при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает файл, находящийся по ссылке:

  • http://ko***m.ua/loading.php?spl=pdf_20apr

  • который сохраняется в каталоге хранения временных файлов текущего пользователя под именем:

  • %Temp%\e.exe

После этого вредонос запускает загруженный файл на выполнение.


Методы борьбы

  1. Удалить оригинальный файл эксплоита (расположение зависит от способа попадания программы на компьютер).
  2. Установить обновления или новую версию программы:
    • http://www.adobe.com/support/security/bulletins/apsb09-04.html
    • http://www.adobe.com/support/security/bulletins/apsb09-06.html
    • http://www.adobe.com/support/security/bulletins/apsb08-13.html
    • http://www.adobe.com/support/security/advisories/apsa09-07.html

  3. Удалить файл:
    • %Temp%\e.exe

  4. Произвести полную проверку компьютера бесплатной лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.