Архив новостей

«Зевс» — агент под pdf-прикрытием

Специалисты по сетевой безопасности обнаружили
новый способ распространения троянцев семейства ZeuS — в виде вложения в pdf-файл, присланный по электронной почте.

Вредоносные письма замаскированы под фальшивое уведомление о недоставке почтового отправления от имени британской службы Royal Mail. К письму прилагается «квитанция» — прикрепленный файл в pdf-формате, соответствующим образом поименованный. По свидетельству экспертов, этот файл содержит одноименное исполнимое вложение, которое активируется с помощью функции Launch программ для просмотра pdf-документов.

32628

Часть вложенного ехе-файла со строкой запуска (развернута)

В итоге в систему пользователя инсталлируется новая модификация ZeuS, который пытается подключиться к китайскому серверу.

Механизм выполнения команд /Launch/Action определен в спецификациях PDF и используется для запуска приложений и открытия/распечатки документа. Трюк с его эксплуатацией для установки вредоносных программ не нов; один из вариантов возможной атаки был недавно продемонстрирован бельгийским экспертом Дидье Стивенсом (Didier Stevens).

Сценарий обработки вложений в pdf-файлы таков. При открытии документа вызывается функция javascript, которая сохраняет вложенный в pdf-документ файл на жесткий диск:

32630

При этом Adobe Reader выводит на экран диалоговое окно, чтобы пользователь указал место размещения нового объекта. По умолчанию в строке «Имя файла» указывается исходное наименование вложения.

32632

Поскольку в нашем случае и сам pdf-документ, и его вложение названы одинаково, неискушенный пользователь может принять это за попытку сохранения собственно pdf-файла и бездумно нажать на кнопку «Сохранить». В Foxit Reader такие вложения автоматически, без вмешательства пользователя сохраняются в папке «Документы».

По завершении экспорта выполняется функция Launch.

32634

Программа отыскивает сохраненный файл в общедоступных папках и пытается его выполнить. При этом Adobe Reader, как и Foxit последней версии, вновь выводит диалоговое окно, на сей раз с предупреждением о возможных последствиях:

32636

Foxit более ранних версий активируют файл, не запрашивая выбор пользователя.

Тем не менее, даже новейшие версии Foxit и Adobe Reader не способны уберечь пользователя от заражения. Пока разработчики решают, как прикрыть одиозную лазейку для злоумышленников, можно повысить защиту, отключив javascript и запретив программе открывать не-pdf файлы во внешних приложениях (в установках Adobe Reader вкладка Диспетчер доверия).

«Зевс» — агент под pdf-прикрытием

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике