Методы обнаружения вирусов

Exploit.JS.Pdfka.dmg

Время детектирования 13 апр 2011 06:38 MSK
Время выпуска обновления 13 апр 2011 12:08 MSK
Описание опубликовано 26 янв 2012 18:07 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Файл представляет собой XFA (XML Forms Architecture) форму, которая содержит в себе вредоносный сценарий языка Java Script. Имеет размер 14529 байта.


Деструктивная активность

Инициализация и запуск вредоносного содержимого XFA формы происходит после открытия специально созданного зараженного PDF документа, который содержит в себе данную форму. В качестве обработчика события "initialize" в XFA форме, используется обфусцированный вредоносный сценарий Java Script. После снятия обфускации, вредонос использует уязвимость, которая возникает из-за переполнения буфера при некорректной обработке аргументов в "libtiff.dll" (CVE-2010-0188), для выполнения загрузки файла, который располагается по ссылке: 

http://a***gynae.com/exe.php?exp=lib&key=fcfe7c&u=root
Затем вредонос сохраняет файл в каталог хранения временных файлов браузера: 
%Temporary Internet Files%\<имя_временного_файла>
После успешного сохранения - запускает загруженный файл на исполнение. На момент создания описания ссылка не работала. Уязвимыми являются продукты Adobe Reader и Acrobat 8 (до версии 8.2.1) и 9 (до версии 9.3.1).


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?): 
    %Temporary Internet Files%
  3. Выполнить обновление продуктов Adobe Reader и Acrobat или установить обновления: 
    http://www.adobe.com/support/security/bulletins/apsb10-07.html
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Main menu


Sub menu