金山毒霸云安全中心近日截获一款借PDF文档传播的后门木马,病毒目标直指国内金融、经济界的业内人士,反病毒专家推测极有可能是一款商业木马。
在这封带毒的英文邮件中,发信人称自己是现居北京的《金融时报》编辑"帕姆",他要求收件人阅读PDF文档中的名单,协助他完成一个所谓的研究课题访谈。这个研究课题看上去非常权威专业,因为邮件中说它涉及到工资、利润、通货膨胀、利率、资产价格、资本流动和汇率等一系列复杂的问题,并且还要对中国、印度等新兴经济体进行研究。
金山毒霸反病毒专家指出,一旦收件人阅读了这个PDF附件,那么很糟糕,将会立即掉进黑客的陷阱。因为文档中包含一个后门木马文件,将被害人电脑与黑客远程服务器连接起来,等候黑客指令。
金山毒霸反病毒工程师分析PDF文档后发现,这份PDF文档经过精心构造,嵌入了一个能利用Adobe Reader安全漏洞进行远程攻击的木马。病毒会在WINDOWSsystem32目录下释放出一个wuausrv.dll文件,并修改注册表实现自启动,于下一次开机后连接到多个远程服务器,静默等候黑客的控制指令。
而被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会发生溢出事件,导致木马可以绕过系统安全模块运行。
早在今年4月份时,这一漏洞就已经被安全业内人士发现并发出了警告,但由于Adobe Reader等PDF阅读器的升级机制问题,总还是会有不少用户电脑中依然存在这一漏洞。金山反病毒专家推测,黑客很可能是掌握了这一规律,才精心制作了这封"毒"邮件。
由于这封毒邮件的内容直接与经济、金融问题相关,再结合金融危机以来国内外曝出的一系列商业间谍案,金山毒霸反病毒专家严重怀疑此病毒很可能是一款商业木马。操纵该病毒的黑客组织的目标,就是国内金融或经济界的业内人士,一旦在这些人员的电脑上种植了后门程序,黑客便有机会掌握大量的商业敏感信息,从而靠贩卖商业情报谋取暴利。
金山网盾成功拦截该毒借助漏洞的运行
面对潜伏在邮件中的木马间谍和日益严峻的商业信息安全环境,金山毒霸反病毒专家李铁军建议广大专业人士和行业用户:要提高自身的信息安全意识,不要轻易打开陌生邮件,以免电脑被黑客控制,从而使商业机密泄露。下载免费的金山网盾 http://labs.duba.net/wd.shtml 可以成功拦截此漏洞。