Режим работы:
ПН-ПТ с 11:00 до 21:00
Выходные с 12:00 до 18:00
МЫ РАБОТАЕМ В ВЫХОДНЫЕ ДНИ
Москва, ул. Автозаводская, д. 5
ст. метро Автозаводская
+7(495) 797-78-68
Exploit.Win32.Pidief.cvl
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 37854 байта.
Деструктивная активность
Вредоносный PDF документ содержит в себе два сжатых потока данных, которые, после открытия документа, распаковываются и представляют собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эксплоит использует уязвимости, которые существуют при обработке метода getAnnots Doc (CVE-2009-1492) и при вызове функции Collab.collectEmailInfo () (CVE-2007-5659), а также при обработке U3D объекта (CVE-2009-2994), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При запуске сценария эксплоит проверяет версию продукта, затем специально формирует шеллкод, в результате выполнения которого происходит загрузка файла, который располагается по следующему URL:
?eHff8c42cfV0100f060006R00000000102Tb57b0ca8203l0409K45fb3fec
%Temp%\<rnd>.exe
На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Установить обновления:
http://www.adobe.com/support/security/bulletins/apsb09-06.html http://www.adobe.com/support/security/bulletins/apsb08-13.html http://www.adobe.com/support/security/bulletins/apsb09-15.html
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp % \
- Произвести полную проверку компьютера антивирусом
Другие названия
- Trojan: BackDoor-BAC (McAfee)
- Troj/Mdrop-CJW (Sophos)
- Troj/PDFJs-GE (Sophos)
- Mal/PdfEx-C (Sophos)
- Trojan.Spy-69512 (ClamAV)
- Exploit.PDF-10410 (ClamAV)
- Trj/Downloader.MDW (Panda)
- PDF/Expl.BU (FPROT)
- TrojanDropper:Win32/Witkinat.A (MS (OneCare))
- Exploit:Win32/Pdfjsc.CR (MS (OneCare))
- Exploit:Win32/Pdfjsc.DE (MS (OneCare))
- Trojan.Click.41375 (DrWeb)
- Trojan.Fakealert.7869 (DrWeb)
- Trojan.DownLoad1.35777 (DrWeb)
- Trojan.Fakealert.8381 (DrWeb)
- Trojan.Fakealert.12010 (DrWeb)
- Trojan.DownLoader.origin (DrWeb)
- BackDoor.PcClient.2394 (DrWeb)
- multiple threats (Nod32)
- JS/Exploit.Pdfka.ASD trojan (Nod32)
- JS/Exploit.Pdfka.NQI trojan (Nod32)
- Trojan.Generic.3054018 (BitDef7)
- Exploit.PDF-JS.Gen (BitDef7)
- Trojan.Script.281005 (BitDef7)
- Trojan.DR.Witkinat.Gen (VirusBuster)
- JS.Pdfka.Gen.2 (VirusBuster)
- Win32:Rootkit-gen [Rtk] (AVAST)
- JS:Pdfka-gen [Expl] (AVAST)
- Trojan.Win32.Swisyn (Ikarus)
- Exploit.JS.Pdfka (Ikarus)
- Exploit.Win32.Pidief (Ikarus)
- Generic16.BRWR (AVG)
- AGEN-MLT.000 <<< TR/Swisyn.wti (AVIRA)
- EXP/Pidief.GI (AVIRA)
- HTML/Malicious.PDF.Gen (AVIRA)
- Trojan Horse (NAV)
- Trojan.Pidief.G (NAV)
- W32/Malware.KVZL (Norman)
- JS/Shellcode.CI (Norman)
- Trojan.Win32.Generic.51F9130E (Rising)
- Trojan-Dropper.Win32.Agent.bkqo [AVP] (FSecure)
- Exploit.Win32.Pidief.cvl [AVP] (FSecure)
- TROJ_PIDIEF.SMM (TrendMicro)
- Trojan.Win32.Malware (fs) (Sunbelt)
- Exploit.PDF-JS.Gen (v) (Sunbelt)
- LooksLike.PDF.Malware.a (v) (Sunbelt)
- Trojan.DR.Witkinat.Gen (VirusBusterBeta)
- JS.Pdfka.Gen.2 (VirusBusterBeta)
25.02.2010, 4092 просмотра.