ويروس Exploit-PDF.px
[wptabs style=”wpui-red” effect=”fade” mode=”horizontal”]
[wptabtitle] چیست[/wptabtitle] [wptabcontent]ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و با سو استفاده از نقطه ضعف برنامه های Adobe Acrobat و Adobe Reader سیستم را آلوده کرده و می تواند به عنوان ابزاری جهت کنترل دستگاه قربانی از راه دور استفاده گردد. اولین نمونه ی این ويروس در تیر ماه سال جاری (1390) مشاهده شده است. در حال حاضر شدت آلودگی به این ویروس در خاور میانه پایین است و بیشترین آلودگی ها در ایالات متحده ی آمریکا و انگلیس مشاهده شده است.[/wptabcontent]
[wptabtitle] نامگذاری[/wptabtitle] [wptabcontent]
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
McAfee Exploit-PDF.px
Kaspersky Exploit.JS.Pdfka.fvj
NOD32 JS/Exploit.Pdfka.PLM
Sophos Troj/PdfJs-XW
Microsoft Exploit:Win32/Pdfjsc.ABS
[/wptabcontent]
[wptabtitle] انتشار[/wptabtitle] [wptabcontent]انتشار ويروس Exploit-PDF.px نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.[/wptabcontent]
[wptabtitle] خرابکاری[/wptabtitle] [wptabcontent]ویروس Exploit-PDF.px به صورت فایل های PDF دستکاری شده ای که برای سو استفاده از نقطه ضعف برنامه های Adobe Acrobat و Adobe Reader طراحی شده اند، دریافت می شود.
این فایل های PDF حاوی یک اسکریپت جاوای بسیار پیچیده می باشند و هنگامی که فایل PDF در یکی از نسخه های آسیب پذیر برنامه های Adobe Acrobat و یا Adobe Reader باز می شود، اسکریپت مخرب مربوطه نیز بارگذاری می شود.
این اسکریپت جاوا حاوی دستور العمل های مخربی همانند دستوراتی برای دریافت ویروس های مختلف از سایت های وب آلوده و نصبشان بر روی سیستم قربانی می باشد.
یکی از نقطه ضعف هایی که توسط این ویروس مورد سوء ستفاده قرار می گیرد نقطه ضعف CVE-2009-0927 می باشد.
ویروس Exploit-PDF.px فایلهای مخرب زیر را در دستگاه آلوده کپی می کند:
%Temp%\AcrF9B2.tmp
%Temp%\AcrF9B3.tmp
%Temp%\AcrF9B4.tmp
همچنین پوشه های زیر بر روی سیستم ساخته می شوند:
%AppData%\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary
%AppData%\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\all
همچنین بعضی از مدخل های محضر خانه ی سیستم نیز تغییر می کنند. از جمله با ساخت و تغییر مدخل زیر تنظیمات پیش فرض مربوط به مدیریت دریافت فایلها (Download manager) تغییر می یابد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
[/wptabcontent]
[wptabtitle] پیشگیری[/wptabtitle] [wptabcontent]به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6744 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
[/wptabcontent]
[/wptabs]
