金山毒霸云安全中心近日截获一款借PDF文档传播的后门木马,病毒目标直指国内金融、经济界的业内人士,反病毒专家推测极有可能是一款商业木马。
在这封带毒的英文邮件中,发信人称自己是现居北京的《金融时报》编辑“帕姆”,他要求收件人阅读PDF文档中的名单,协助他完成一个所谓的研究课题访谈。这个研究课题看上去非常权威专业,因为邮件中说它涉及到工资、利润、通货膨胀、利率、资产价格、资本流动和汇率等一系列复杂的问题,并且还要对中国、印度等新兴经济体进行研究。
(邮件中的联系人名单)
金山毒霸反病毒专家指出,一旦收件人阅读了这个PDF附件,那么很糟糕,将会立即掉进黑客的陷阱。因为文档中包含一个后门木马文件,将被害人电脑与黑客远程服务器连接起来,等候黑客指令。
金山毒霸反病毒工程师分析PDF文档后发现,这份PDF文档经过精心构造,嵌入了一个能利用Adobe Reader安全漏洞进行远程攻击的木马。病毒会在WINDOWS\system32\目录下释放出一个wuausrv.dll文件,并修改注册表实现自启动,于下一次开机后连接到多个远程服务器,静默等候黑客的控制指令。
而被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会发生溢出事件,导致木马可以绕过系统安全模块运行。
早在今年4月份时,这一漏洞就已经被安全业内人士发现并发出了警告,但由于Adobe Reader等PDF阅读器的升级机制问题,总还是会有不少用户电脑中依然存在这一漏洞。金山反病毒专家推测,黑客很可能是掌握了这一规律,才精心制作了这封“毒”邮件。
由于这封毒邮件的内容直接与经济、金融问题相关,再结合金融危机以来国内外曝出的一系列商业间谍案,金山毒霸反病毒专家严重怀疑此病毒很可能是一款商业木马。操纵该病毒的黑客组织的目标,就是国内金融或经济界的业内人士,一旦在这些人员的电脑上种植了后门程序,黑客便有机会掌握大量的商业敏感信息,从而靠贩卖商业情报谋取暴利。
金山网盾成功拦截该毒借助漏洞的运行
面对潜伏在邮件中的木马间谍和日益严峻的商业信息安全环境,金山毒霸反病毒专家李铁军建议广大专业人士和行业用户:要提高自身的信息安全意识,不要轻易打开陌生邮件,以免电脑被黑客控制,从而使商业机密泄露。下载免费的金山网盾 http://labs.duba.net/wd.shtml 可以成功拦截此漏洞。
金山互联网安全简介:
金山互联网安全,产品主要有金山毒霸和金山KingGate(企业级网络安全硬件产品)。1997年,金山软件在珠海成立反病毒研发小组进行反病毒产品的研发,是国内较早从事互联网安全业务的企业之一。2008年6月,深圳金山信息安全技术有限公司正式成立,并推出了金山KingGate品牌,协同金山毒霸走软硬件相结合的道路,强势进军企业安全市场。金山互联网安全经过十多年的研究、开发,现已形成包括金山毒霸个人版、金山毒霸企业版、金山防火墙、金山防水墙、金山防毒墙、金山KingGate等计算机及网络安全软硬件产品。从网络安全技术、前瞻性研究,到快速反应的本土化服务体系,金山互联网安全在国内和国际均居于领先地位。