当看到这篇博客文章时,我最先想到的是:“这是另一次目标攻击吗?”我看了一下这篇文章内所提到的PDF文件,看起来非常类似是给某国防承包商员工的满意度调查文件。趋势科技产品已将该恶意PDF文件命名为TROJ_PIDIEF.EGG。这个文件打开后的样子类似下面这样:
在我看来,网络犯罪分子的目标是想要通过这家国防承包商的员工,获得该公司的机密资料,甚至公司客户的资料。趋势科技还发现,他们的客户包括很多广为人知的美国联邦政府机构。
这个PDF漏洞攻击的代码与其他常被用于进行漏洞攻击的代码类似。文件中夹带了恶意JavaScript脚本,通过脚本行Shellcode,解开并安装内嵌在PDF文件内的二进制文件。下面是被嵌入的二进制文件内容,趋势科技将其命名为BKDR_SYKIPOT.B。
如果用户很少检查自己电脑中运行的进程,可能就无法发现有个后门程序Pretty.exe正在后台运行。该进程并不会做出任何破坏行为,但如果该后门程序成功连接到外部控制服务器,远程用户就能控制受感染的系统,并做出更多恶意操作,例如可以下载其他恶意程序,或者重启动系统。
趋势科技的主动式云端截毒服务技术可以保护用户对抗这种攻击,该技术可以封锁所有相关的文件和网址。此外趋势科技的TDA威胁检测系统也能通过TDA规则18 NCCP – 1.11525.00来侦测与该恶意网站有关的通讯,不仅如此,趋势科技的Deep Security和OfficeScan的Intrusion Defense Firewall附加程序还能通过下列规则保护客户:1004871 – Adobe Acrobat Reader U3D Component Memory Corruption Vulnerability(CVE-2011-2462),1004873 – Adobe Acrobat Reader U3D Component Memory Corruption(CVE-2011-2462)。用户可以参考Adobe安全公告网页了解关于这个零时差漏洞的更多信息。
