互聯網疫情警示——Adobe“零日”漏洞的風險及應對
【51CTO.com 綜合消息】賽門鐵克早前發現了存在于Adobe Reader 9.0和 Adobe Acrobat 9.0及更早版本中的“零日”漏洞,并陸續檢測到利用此漏洞發動的對金融機構,企業甚至政府部門計算機系統的攻擊案例。根據賽門鐵克的最新監測顯示,受影響的區域包括美國,英國,中國,日本等國家和地區,其影響范圍還在持續擴大中。
目前,賽門鐵克防病毒軟件可以通過Bloodhound.PDF.6啟發式檢測方式判斷PDF文件是否含有此類惡意病毒,并已針對利用此漏洞的惡意PDF文件發布新的病毒定義Trojan.Pidief.E。賽門鐵克將繼續對此病毒進行密切監測,并將為用戶提供及時的通報和應對措施。
技術分析
經分析,Adobe Reader的這個漏洞是由于它在解析PDF結構時產生的錯誤所造成的。當帶病毒的文件被打開時,漏洞即被觸發。惡意PDF文件中的JavaScript腳本采用堆擴散技術以增加攻擊代碼運行的可能性。攻擊代碼會釋放惡意文件至受感染的計算機中執行。
帶毒PDF文件所釋放的惡意文件被檢測為Backdoor.Trojan。此后門病毒就是大家熟悉的源自中國的Gh0st RAT,一個非常流行的開源工具包。它可以被用作窺視用戶桌面,記錄鍵盤輸入信息,以及遠程操縱受感染的計算機。賽門鐵克將這類惡意PDF 文件定義為Trojan.Pidief.E。Bloodhound.PDF.6啟發式檢測可以保護計算機防御這種病毒的攻擊。 根據目前受感染的PDF文件樣本看來,病毒攻擊的目標人群之一很可能是各大企業公司的高層管理人員。
由于他們的email地址一般可以在其所屬公司的網站上查到,因此很容易被病毒制造者利用。病毒制造者將含有惡意代碼的PDF附件發送至他們的郵箱中,一旦這些帶病毒的文件得以運行,導致電腦中毒,那么病毒制造者就有機會盜取管理人員計算機中的機要文件。由于這些文件包含公司的重要機密信息, 丟失或被盜都可能帶來巨大的經濟損失,后果十分嚴重。賽門鐵克將繼續監測該病毒的蔓延情況。
互聯網疫情警示
補丁
目前尚無針對此漏洞的補丁。 根據Adobe公司的最新官方信息,針對此漏洞的補丁將于2009年3月11日發布。(http://www.adobe.com/support/security/advisories/apsa09-01.html) 應對和防范 賽門鐵克建議用戶采取以下措施:
下載賽門鐵克防病毒產品的最新安全更新,以保護計算機抵御病毒攻擊。
不要輕易打開來自陌生地址的郵件;同時謹慎對待含有附件的email,不要輕易打開附件(尤其是PDF文件)以防中毒。
在Adobe Reader中禁用JavaScript,打開DEP (Data Execution Prevention) 功能,這些措施都可以降低計算機受病毒攻擊的可能。
反病毒更新
賽門鐵克反病毒軟件已將此病毒命名為Trojan.Pidief.E,針對此漏洞的啟發性檢測方式為Bloodhound.PDF.6 IDS更新 (暫無)
【編輯推薦】
