Kaptam az imént egy PDF melléklettel bíró levelet. Elsőre úgy tűnt, hogy valami spam, az üzenetben lévő “Please have a look at attached document.” és a “report.2007.10.29.6129157.pdf” mellékletnévből. Gondoltam megnézem ebben éppen mi van, mert már jó ideje nem jött ilyen spam.
Hát, nem spam volt. Ez viszonylag hamar feltűnt, mert felugrott egy DOS ablak cmd.exe-vel…
Már húztam is ki az UTP csatlakozót…
Szerverünkön kézi filter adjusztálása, virustotal és információgyűjtés után úgy tűnik, hogy ez egy PDF-exploitos gozi (vagy végül is akármi más) trojan installer.
http://www.secureworks.com/research/threats/gozipdf
Virustotal eredménye:
A(z) report.2007.10.29.6129157.pdf állomány feltöltve: 2007.10.29 23:22:17 (CET)
Eredmény: 6/31 (19.36%)
Antivírus |
Verzió |
Utolsó frissítés |
Eredmény |
AhnLab-V3 | 2007.10.30.0 | 2007.10.29 | – |
AntiVir | 7.6.0.30 | 2007.10.29 | EXP/PDF.URI.Gen |
Authentium | 4.93.8 | 2007.10.29 | – |
Avast | 4.7.1074.0 | 2007.10.29 | – |
AVG | 7.5.0.503 | 2007.10.29 | – |
BitDefender | 7.2 | 2007.10.30 | – |
CAT-QuickHeal | 9.00 | 2007.10.29 | Expoit.PDF.CVE-2007-5020 |
ClamAV | 0.91.2 | 2007.10.29 | Exploit.PDF-1 |
DrWeb | 4.44.0.09170 | 2007.10.29 | – |
eSafe | 7.0.15.0 | 2007.10.28 | – |
eTrust-Vet | 31.2.5250 | 2007.10.29 | – |
Ewido | 4.0 | 2007.10.29 | – |
FileAdvisor | 1 | 2007.10.29 | – |
Fortinet | 3.11.0.0 | 2007.10.19 | – |
F-Prot | 4.3.2.48 | 2007.10.29 | – |
F-Secure | 6.70.13030.0 | 2007.10.29 | – |
Ikarus | T3.1.1.12 | 2007.10.29 | – |
Kaspersky | 7.0.0.125 | 2007.10.30 | Exploit.Win32.PDF-URI.l |
McAfee | 5151 | 2007.10.29 | – |
Microsoft | 1.2908 | 2007.10.30 | – |
NOD32v2 | 2623 | 2007.10.29 | – |
Norman | 5.80.02 | 2007.10.29 | – |
Panda | 9.0.0.4 | 2007.10.29 | – |
Prevx1 | V2 | 2007.10.29 | – |
Rising | 19.47.02.00 | 2007.10.29 | – |
Sophos | 4.23.0 | 2007.10.29 | – |
Sunbelt | 2.2.907.0 | 2007.10.29 | – |
Symantec | 10 | 2007.10.30 | Bloodhound.Exploit.163 |
TheHacker | 6.2.9.110 | 2007.10.27 | – |
VBA32 | 3.12.2.4 | 2007.10.28 | – |
VirusBuster | 4.3.26:9 | 2007.10.29 | Exploit.PDF.Gen |
További információ |
File size: 4854 bytes |
MD5: 356caee3eff70746d7dceec345123f21 |
SHA1: 2403cb3c827b9504f7717bbafdcb5e89ed847924 |
Tehát sok víruskereső nem csinál vele semmit, ami értelemszerűen nem túl jó. Jó kis PDF exploit családot vélek vízionálni a közeljövőre. Az exploit egyébként 2007 szeptember 20.-án jelent meg a bugtraq-on.
Konklúzió:
A víruskeresőkön felül nem bízhatunk ma már a PDF fájlokban sem.
Frissítsük sürgősen Acrobat Reader-ünket innen:
http://www.adobe.com/support/security/bulletins/apsb07-18.html
Addendum: Ühm, úgy tűnik, hogy magyarból csak 8.0 van és csak angolból van 8.11. Akkor marad vagy az angol, vagy a fentiekben leírt registry hackelés…
“Virustotal eredménye” timeoutolt.