Exploit.JS.Pdfka.cyy / Exploit.JS.Pdfka.cyg


Описание
Программа-эксплоит, загружающая из сети Интернет без ведома пользователя другие вредоносные программы и запускающая их на выполнение. Является PDF документом содержащим сценарии языка Java Script. Размер - 35032/36364 байта.


Деструктивная активность
Вредоносный PDF документ, содержащий в себе сжатые потоки данных, которые, после открытия документа, распаковываются. Для выполнения вредоносного кода эсплоит использует механизм переполнения стека путем вызова небезопасной функции strcat() и передаче ей специальным образом сформированной строки (CVE-2010-2883) в продуктах Adobe Reader и Adobe Acrobat младше версий 9.4. При успешной эксплуатации уязвимости, вредонос загружает файл по ссылке:

    Exploit.JS.Pdfka.cyy
  • http://re***dex.in/whsfd/eQt02mJt.php?spl=pdf_sing&s=64cbc3b1bcea78024871ee7582ea0fd7&fh=

  • Exploit.JS.Pdfka.cyg
  • http://ss***da.ru/xcvw4/ad5rq2/uDZWmNggb.php?spl=pdf_sing&s=db7a56fb24fa73c45dcfdfa72167ce45&fh=

На момент создания описания ссылки не работали.

При успешной загрузке скачанный файл записывается во временный каталог текущего пользователя под следующим именем:

  • %Temp%/a.exe

После чего загруженный файл запускается на выполнение и эксплоит завершает свою работу.


Методы борьбы

  1. Удалить оригинальный файл эксплоита (расположение зависит от способа попадания программы на компьютер).
  2. Удалить файл:
    • %Temp%/a.exe
  3. Очистить каталог Temporary Internet Files.
  4. Выполнить обновления продуктов Adobe Reader или Adobe Acrobat до актуального состояния.
  5. Произвести полную проверку компьютера бесплатной лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.