PDFfiles spread Windows worm
30 April 2010, 13:00
Theo:http://www.h-online.com/security/news/item/PDF-files-spread-Windows-worm-990647.html
Bài được đưa lênInternet ngày: 30/04/2010
Lờingười dịch: Thủ phạm lần này là sâu chỉ dành riêngcho Windows lan truyền qua tệp PDF: Win32/Auraax.
Các nhà cung cấp phầnmềm chống virus đang nói những nỗ lực xa hơn của bọntội phạm sử dụng các tệp PDF lừa đảo để gây lâynhiễm cho các hệ thống Windows bằng những phần mềm độchại. Theo sau sự phổ biến gần đây của những tài liệucó chứa ZeuS bot, bây giờ spam đang lan truyền một PDF màchứa một sâu.
Scripts hoặc các tệpexe được nhúng trong các tệp PDF có thể chạy đượcbởi các phương tiện của chức năng Launch Actions/LaunchFile. Mặc dù Adobe Reader không yêu cầu người sử dụngliệu học có muốn chạy một tệp nhúng hay không, thìhộp thông điệp có thể được thiết lập cấu hình nhưthể người sử dụng không có lý do để nghi ngờ rằngthứ gì đó khiếm nhã đang sắp xảy ra.
Các nguồn, bao gồmcả X-Forrce của IBM, hiện đang nói spam với dòng chủ đề“Việc thiết lập hộp thư của bạn sẽ thay đổi”.Thư điện tử này nói tệp PDF gắn kèm có chứa nhữngchỉ dẫn cho việc thiết lập cấu hình lại tài khoảnthư điện tử của người sử dụng. Mặc dù Adobe Readerhiển thị một cảnh báo khi tệp PDF đang mở, thì mộtsố người sử dụng hình như đơn giản là nháy vào númmở để xem tài liệu. Điều này dẫn tới trong tệp PDFchạy một VBScript mà nó viết tệp game.exe tới máy tínhvà sau đó chạy nó.
Tệp này có chứa sâuWin32/Auraax. Để đo hàng, Auraax cài đặt một bộcông cụ rootkit và cố gắng viết bản thân nó tới bấtkỳ ổ nào (như các ổ USB) kến nối với hệ thống. Mặcdù hầu hết các phần mềm chống virus dò tìm ra các phầnmềm độc hại thì được khuyến cáo hãy vô hiệu hóalựa chọn “Allow opening of non-PDF file attachments withexternal applications” (“Cho phép việc mở các tệp gắnkèm không phải PDF với những ứng dụng bên ngoài”) từthực đơn Edit/Preferences/Trust Manager trong Adobe Reader. Lựachọn này được kích hoạt mặc định. Foxit Reader hìnhnhư dễ bị những cuộc tấn công như vậy và cũng hiểnthị một cảnh báo, nhưng không có lựa chọn nào để vôhiệu hóa chức năng Launch.
Vì một thông điệpcảnh báo được hiển thị, Adobe khoogn phân loại vấn đềan ninh này là nguy kịch. Adobe coi nó là một chức nănghữu dụng mà chỉ trở thành một vấn đề khi được sửdụng không đúng.
Anti-virussoftware vendors arereporting further efforts by criminals to use crafted PDF filesto infect Windows systems with malware. Following recentdissemination of documents containing the ZeuS bot, now spam isspreading a PDF that contains a worm.
Scriptsor exe files embedded in PDF files can be executed by means of theLaunch Actions/Launch File function. Although Adobe Reader does askusers whether they want to run an embedded file, the message box canbe configured such that the user has no reason to suspect thatsomething untoward is about to happen.
Sources,including IBM's X-Force, are currently reporting spam with thesubject line "Setting for your mailbox are changed". Theemail claims the attached PDF contain instructions for reconfiguringthe user's e-mail account. Although Adobe Reader does display awarning when the PDF file is opened, some users are likely to simplyclick the open button to view the document. This results in the PDFfile executing a VBScript which writes the file game.exeto the computer and then executes it.
Thefile contains the worm Win32/Auraax.For good measure, Auraax installs a rootkit and attempts to writeitself to any drives (e.g. USB drives) connected to the system.Although most anti-virus software detects the malware it is advisableto deactivate the "Allow opening of non-PDF file attachmentswith external applications" option f-rom theEdit/Preferences/Trust Manager menu in Adobe Reader. This option isactivated by default. Foxit Reader is likewise susceptible to suchattacks and also displays a warning, but there is no option todisable the Launch function.
Becausea warning message is displayed, Adobe does not classify this securityproblem as critical. Adobe considers it to be a useful function whichonly becomes a problem when used incorrectly.
Dịch tài liệu: LêTrung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...