金山毒霸云安全系统近日截获一款借PDF文档传播的后门木马,该毒隐藏在一封英文邮件的PDF文件中,目标直指国内金融、经济界的业内人士,极有可能是一款商业木马。在这封由英文撰写的毒邮件中,发信人称自己是现居北京的《金融时报》编辑“帕姆”,他要求收件人阅读附件PDF文档中的名单,协助他完成一个所谓的研究课题 访谈。这个研究课题看上去非常权威专业,因为邮件中说它涉及到工资、利润、通货膨胀、利率、资产价格、资本流动和汇率等一系列复杂的问题,并且还要对中 国、印度等新兴经济体进行研究。我们猜想,部分收件人甚至会为自己能收到如此“珍贵”的邮件而激动。
但如果你阅读了这个PDF附件,那么很糟糕,你会立即掉进黑客的陷阱,因为文档中包含一个后门木马文件,它会将你的电脑与黑客远程服务器连接起来,等候黑客指令。
金山毒霸反病毒工程师分析PDF文档后发现,这份PDF文档经过精心构造,嵌入了一个能利用Adobe Reader安全漏洞进行远程攻击的木马。该毒会在WINDOWSsystem32目录下释放出一个wuausrv.dll文件,并修改注册表实现自 启动,于下一次开机后连接到多个远程服务器,静默等候黑客的控制指令。
而被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会发生溢出事件,导致木马可以绕过系统安全模块运行。不过经测试它无法绕过金山网 盾的拦截,金山毒霸对该毒的命名为Win32.Troj.PdfDropper.eq和Win32.Troj.PdfDropper.ty。
早在今年4月份时,这一漏洞就已经被安全业内人士发现并发出了警告,但由于Adobe Reader等PDF阅读器的升级机制问题,总还是会有不少用户电脑中依然存在这一漏洞。黑客很可能是掌握了这一规律,才精心制作了这封毒邮件。
由于这封毒邮件的内容直接与经济、金融问题相关,再结合金融危机以来国内外曝出的一系列商业间谍案,我们猜测此毒很可能是一款商业木马。操纵该毒的黑客组织 的目标,就是国内金融或经济界的业内人士,黑客对受害人的挑选要求是首先能看懂专业名词较多的英文,其次得对经济学方面的事情干兴趣,同时还乐意同专业的 经济媒体打交道,只有这样,受害人愿意去阅读附件的可能性才会高——显然,只有精英人群满足这些条件。
而一旦在这些人员的电脑上种植了后门程序,黑客便有机会掌握大量的商业敏感信息,从而靠贩卖商业情报谋取暴利。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
面对KVM漏洞 “亡羊补牢”不如“未雨绸缪”
对于企业服务器来说,漏洞、后门等安全问题的发生几乎是不可避免的。但如果只是在事件爆发时才能够引起社会对安全风险的关注和警觉,稍经时日便又习以为常,这将导致累积起来的安全风险越来越大。
-
明朝万达再次亮相金融展 推出金融业数据安全解决方案
明朝万达第二次参加金融展,面向银行、证券、保险等三大行业推出金融业数据安全解决方案。
-
PDF安全使用策略指导手册
PDF是企业常用的文件形式,但是随着企业对它的依赖性增长,PDF文件也越来越受到攻击者的关注。目前的PDF攻击采用壳代码(shellcode),它使恶意软件很难被发现和移除。然而企业需要用PDF文件来传输信息,尤其是敏感信息,所以企业应该重新评估其PDF安全策略,重视PDF的安全性。本迷你电子书将提供保护PDF文件安全的最佳实践,并且对何时使用PDF文件提出建议。
-
如何确保PDF和文档文件的安全?
如何确保你所接收或使用的PDF和文档文件不含恶意内容呢?怎样预防自己的文件中被植入恶意内容呢?