Már megint egy csúnyaság – PDF trójai letöltő…

Kaptam az imént egy PDF melléklettel bíró levelet. Elsőre úgy tűnt, hogy valami spam, az üzenetben lévő “Please have a look at attached document.” és a “report.2007.10.29.6129157.pdf” mellékletnévből. Gondoltam megnézem ebben éppen mi van, mert már jó ideje nem jött ilyen spam.

Hát, nem spam volt. Ez viszonylag hamar feltűnt, mert felugrott egy DOS ablak cmd.exe-vel…
Már húztam is ki az UTP csatlakozót…

Szerverünkön kézi filter adjusztálása, virustotal és információgyűjtés után úgy tűnik, hogy ez egy PDF-exploitos gozi (vagy végül is akármi más) trojan installer.
http://www.secureworks.com/research/threats/gozipdf

Virustotal eredménye:
A(z) report.2007.10.29.6129157.pdf állomány feltöltve: 2007.10.29 23:22:17 (CET)
Eredmény: 6/31 (19.36%)

Antivírus

Verzió
Utolsó frissítés
Eredmény
AhnLab-V3 2007.10.30.0 2007.10.29
AntiVir 7.6.0.30 2007.10.29 EXP/PDF.URI.Gen
Authentium 4.93.8 2007.10.29
Avast 4.7.1074.0 2007.10.29
AVG 7.5.0.503 2007.10.29
BitDefender 7.2 2007.10.30
CAT-QuickHeal 9.00 2007.10.29 Expoit.PDF.CVE-2007-5020
ClamAV 0.91.2 2007.10.29 Exploit.PDF-1
DrWeb 4.44.0.09170 2007.10.29
eSafe 7.0.15.0 2007.10.28
eTrust-Vet 31.2.5250 2007.10.29
Ewido 4.0 2007.10.29
FileAdvisor 1 2007.10.29
Fortinet 3.11.0.0 2007.10.19
F-Prot 4.3.2.48 2007.10.29
F-Secure 6.70.13030.0 2007.10.29
Ikarus T3.1.1.12 2007.10.29
Kaspersky 7.0.0.125 2007.10.30 Exploit.Win32.PDF-URI.l
McAfee 5151 2007.10.29
Microsoft 1.2908 2007.10.30
NOD32v2 2623 2007.10.29
Norman 5.80.02 2007.10.29
Panda 9.0.0.4 2007.10.29
Prevx1 V2 2007.10.29
Rising 19.47.02.00 2007.10.29
Sophos 4.23.0 2007.10.29
Sunbelt 2.2.907.0 2007.10.29
Symantec 10 2007.10.30 Bloodhound.Exploit.163
TheHacker 6.2.9.110 2007.10.27
VBA32 3.12.2.4 2007.10.28
VirusBuster 4.3.26:9 2007.10.29 Exploit.PDF.Gen

További információ

File size: 4854 bytes
MD5: 356caee3eff70746d7dceec345123f21
SHA1: 2403cb3c827b9504f7717bbafdcb5e89ed847924

Tehát sok víruskereső nem csinál vele semmit, ami értelemszerűen nem túl jó. Jó kis PDF exploit családot vélek vízionálni a közeljövőre. Az exploit egyébként 2007 szeptember 20.-án jelent meg a bugtraq-on.

Konklúzió:
A víruskeresőkön felül nem bízhatunk ma már a PDF fájlokban sem.
Frissítsük sürgősen Acrobat Reader-ünket innen:
http://www.adobe.com/support/security/bulletins/apsb07-18.html

Addendum: Ühm, úgy tűnik, hogy magyarból csak 8.0 van és csak angolból van 8.11. Akkor marad vagy az angol, vagy a fentiekben leírt registry hackelés…

One Response to “Már megint egy csúnyaság – PDF trójai letöltő…”

  1. HiA says:

    “Virustotal eredménye” timeoutolt.

Leave a Reply