«Зевс» — агент под pdf-прикрытием

Специалисты по сетевой безопасности обнаружили
новый способ распространения троянцев семейства ZeuS — в виде вложения в pdf-файл, присланный по электронной почте.

Вредоносные письма замаскированы под фальшивое уведомление о недоставке почтового отправления от имени британской службы Royal Mail. К письму прилагается «квитанция» — прикрепленный файл в pdf-формате, соответствующим образом поименованный. По свидетельству экспертов, этот файл содержит одноименное исполнимое вложение, которое активируется с помощью функции Launch программ для просмотра pdf-документов.

Часть вложенного ехе-файла со строкой запуска (развернута)

В итоге в систему пользователя инсталлируется новая модификация ZeuS, который пытается подключиться к китайскому серверу.

Механизм выполнения команд /Launch/Action определен в спецификациях PDF и используется для запуска приложений и открытия/распечатки документа. Трюк с его эксплуатацией для установки вредоносных программ не нов; один из вариантов возможной атаки был недавно продемонстрирован бельгийским экспертом Дидье Стивенсом (Didier Stevens).

Сценарий обработки вложений в pdf-файлы таков. При открытии документа вызывается функция javascript, которая сохраняет вложенный в pdf-документ файл на жесткий диск:

При этом Adobe Reader выводит на экран диалоговое окно, чтобы пользователь указал место размещения нового объекта. По умолчанию в строке «Имя файла» указывается исходное наименование вложения.

Поскольку в нашем случае и сам pdf-документ, и его вложение названы одинаково, неискушенный пользователь может принять это за попытку сохранения собственно pdf-файла и бездумно нажать на кнопку «Сохранить». В Foxit Reader такие вложения автоматически, без вмешательства пользователя сохраняются в папке «Документы».

По завершении экспорта выполняется функция Launch.

Программа отыскивает сохраненный файл в общедоступных папках и пытается его выполнить. При этом Adobe Reader, как и Foxit последней версии, вновь выводит диалоговое окно, на сей раз с предупреждением о возможных последствиях:

Foxit более ранних версий активируют файл, не запрашивая выбор пользователя.

Тем не менее, даже новейшие версии Foxit и Adobe Reader не способны уберечь пользователя от заражения. Пока разработчики решают, как прикрыть одиозную лазейку для злоумышленников, можно повысить защиту, отключив javascript и запретив программе открывать не-pdf файлы во внешних приложениях (в установках Adobe Reader вкладка Диспетчер доверия).