【51CTO.com 綜合消息】賽門鐵克早前發(fā)現(xiàn)了存在于Adobe Reader 9.0和 Adobe Acrobat 9.0及更早版本中的“零日”漏洞，并陸續(xù)檢測到利用此漏洞發(fā)動的對金融機構(gòu)，企業(yè)甚至政府部門計算機系統(tǒng)的攻擊案例。根據(jù)賽門鐵克的最新監(jiān)測顯示，受影響的區(qū)域包括美國，英國，中國，日本等國家和地區(qū)，其影響范圍還在持續(xù)擴大中。

目前，賽門鐵克防病毒軟件可以通過Bloodhound.PDF.6啟發(fā)式檢測方式判斷PDF文件是否含有此類惡意病毒，并已針對利用此漏洞的惡意PDF文件發(fā)布新的病毒定義Trojan.Pidief.E。賽門鐵克將繼續(xù)對此病毒進行密切監(jiān)測，并將為用戶提供及時的通報和應(yīng)對措施。

技術(shù)分析

經(jīng)分析，Adobe Reader的這個漏洞是由于它在解析PDF結(jié)構(gòu)時產(chǎn)生的錯誤所造成的。當帶病毒的文件被打開時，漏洞即被觸發(fā)。惡意PDF文件中的JavaScript腳本采用堆擴散技術(shù)以增加攻擊代碼運行的可能性。攻擊代碼會釋放惡意文件至受感染的計算機中執(zhí)行。

帶毒PDF文件所釋放的惡意文件被檢測為Backdoor.Trojan。此后門病毒就是大家熟悉的源自中國的Gh0st RAT，一個非常流行的開源工具包。它可以被用作窺視用戶桌面，記錄鍵盤輸入信息，以及遠程操縱受感染的計算機。賽門鐵克將這類惡意PDF 文件定義為Trojan.Pidief.E。Bloodhound.PDF.6啟發(fā)式檢測可以保護計算機防御這種病毒的攻擊。 根據(jù)目前受感染的PDF文件樣本看來，病毒攻擊的目標人群之一很可能是各大企業(yè)公司的高層管理人員。

由于他們的email地址一般可以在其所屬公司的網(wǎng)站上查到，因此很容易被病毒制造者利用。病毒制造者將含有惡意代碼的PDF附件發(fā)送至他們的郵箱中，一旦這些帶病毒的文件得以運行，導致電腦中毒，那么病毒制造者就有機會盜取管理人員計算機中的機要文件。由于這些文件包含公司的重要機密信息， 丟失或被盜都可能帶來巨大的經(jīng)濟損失，后果十分嚴重。賽門鐵克將繼續(xù)監(jiān)測該病毒的蔓延情況。

互聯(lián)網(wǎng)疫情警示

補丁

目前尚無針對此漏洞的補丁。 根據(jù)Adobe公司的最新官方信息，針對此漏洞的補丁將于2009年3月11日發(fā)布。(http://www.adobe.com/support/security/advisories/apsa09-01.html) 應(yīng)對和防范 賽門鐵克建議用戶采取以下措施：

下載賽門鐵克防病毒產(chǎn)品的最新安全更新，以保護計算機抵御病毒攻擊。

不要輕易打開來自陌生地址的郵件；同時謹慎對待含有附件的email，不要輕易打開附件（尤其是PDF文件）以防中毒。

在Adobe Reader中禁用JavaScript，打開DEP (Data Execution Prevention) 功能，這些措施都可以降低計算機受病毒攻擊的可能。

反病毒更新

賽門鐵克反病毒軟件已將此病毒命名為Trojan.Pidief.E，針對此漏洞的啟發(fā)性檢測方式為Bloodhound.PDF.6 IDS更新 （暫無）

【編輯推薦】

1. 一個網(wǎng)絡(luò)黑客的“漂白”生涯
2. 白帽黑客友情提示：CCTV華軍軟件均含跨站漏洞
3. 安全專家詳談：對付惡意軟件的策略及方法
4. MSN中國官網(wǎng)昨日被掛馬 2009或成駭客盛年
5. 安全公司稱俄羅斯已成為垃圾郵件超級大國
6. 諾頓再次誤升級 廠商可無視用戶許可?
7. Adobe Reader半月練劍 0day夢魘終于完結(jié)