Exploit.JS.Pdfka.aa
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script.
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 9651 байт.
Деструктивная активность
Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эксплоит использует уязвимость, которая существует при вызове функции Collab.collectEmailInfo() (CVE-2007-5659), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает вредоносный файл по следующему URL:
http://j***0.com/cgi-bin/index.cgi?ff5faec30100f06002 c25dff8d068ae54fb302b722697e0003001900000000170Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя под двумя разными именами:
%Temp%\AFek.exe %Temp%\EVKu.exeЗатем вредонос запускает сохраненные файлы на выполнение. На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Установить обновления: http://www.adobe.com/support/security/bulletins/apsb08-13.html
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp%\
Цифровые следы - ваша слабость, и хакеры это знают.