近日，亞信安全截獲嵌入Asruex后門病毒的PDF文檔，該病毒利用CVE-2012-0158和CVE-2010-2883漏洞，在Word和PDF文件中注入惡意代碼。其主要影響在Windows和Mac OS X系統(tǒng)中使用的舊版本的Adobe Reader(版本9.x到9.4)and Acrobat(版本8.x到8.2.5)。亞信安全將其命名為Virus.Win32.ASRUEX.A.orig。

Asruex后門病毒詳細分析

Asruex通過帶有PowerShell下載腳本的快捷方式文件感染系統(tǒng)，并通過可移動驅動器和網(wǎng)絡驅動器進行傳播。下圖是該惡意軟件的感染鏈：

【Asruex的感染鏈】

被感染的PDF文件

安全專家截獲的PDF文件是一個被Asruex變種感染的文件，如果使用舊版本的Adobe Reader和Adobe Acrobat打開文件，其仍然會顯示或者打開原始PDF文件，讓用戶相信其僅僅打開了正常的PDF文件，實際上，受感染的PDF文件將在后臺生成并執(zhí)行感染文件。

此行為是由于特殊模板在附加主機文件時利用了CVE-2010-2883漏洞。該漏洞可以在Adobe的CoolType.dll的strcat函數(shù)中找到，它是一個排版引擎。由于此函數(shù)不需要檢查要注冊的字體的長度，因此可能導致堆棧緩沖區(qū)溢出以執(zhí)行其shellcode。最終其使用XOR解密原始PDF主機文件。

然后，其會生成并執(zhí)行嵌入的可執(zhí)行文件(亞信安全將其命名為Virus.Win32.ASRUEX.A.orig)。此可執(zhí)行文件負責反調試和反仿真功能。它檢測根目錄中是否存在avast!Sandbox \ WINDOWS \ system32 \ kernel32.dll文件，然后，其會進一步檢查以下信息來確定其自身是否在沙箱環(huán)境中運行：

· 計算機名和用戶名

· 加載模塊的導出函數(shù)

· 文件名

· 運行流程

· 運行進程的模塊版本

· 磁盤名稱中的某些字符串

可執(zhí)行文件還將DLL文件(亞信安全檢測為Virus.Win32.ASRUEX.A.orig)注入合法的Windows進程。該DLL文件負責惡意軟件的感染和后門功能。它感染文件大小在42,224字節(jié)和20,971,520字節(jié)之間的文件。

被感染的Word文檔該病毒使用特殊模板來利用CVE-2012-0158漏洞感染W(wǎng)ord文檔。該模板在下圖中突出顯示。

【用于感染W(wǎng)ord文檔的模板】

CVE-2012-0158漏洞允許可能的攻擊者通過Word文檔或網(wǎng)站遠程執(zhí)行任意代碼。與被感染的PDF類似，運行后，其仍然會顯示原始Word文件，讓用戶相信其僅僅打開了正常的Word文件，實際上，被感染的Word文件將在后臺生成并執(zhí)行感染文件。然后其使用XOR來解密原始DOC文件，生成并執(zhí)行rundll32.exe文件。

【使用XOR解密原始DOC文件】

【使用不同的文件名生成和執(zhí)行感染文件】

被感染的可執(zhí)行文件

除了感染W(wǎng)ord文檔和PDF文件外，惡意軟件還會感染可執(zhí)行文件。該Asruex變種壓縮并加密原始可執(zhí)行文件或主機文件，并將其作為.EBSS節(jié)附加在惡意文件中。惡意軟件同樣會生成感染文件，同時也會正常地執(zhí)行主機文件。對于被感染的可執(zhí)行文件，其生成的感染文件名是隨機分配的。

【主機文件附加到惡意軟件的.EBSS節(jié)】

【生成的感染文件使用任意文件名】

亞信安全教你如何防范

· 打全系統(tǒng)及應用程序補丁;

· 不要點擊來源不明的郵件以及附件;

· 不要點擊來源不明的郵件中包含的鏈接;

· 采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼;

· 盡量關閉不必要的文件共享。

亞信安全產品解決方案

· 亞信安全病毒碼版本15.351.60，云病毒碼版本15.351.71，全球碼版本15.353.00已經可以檢測，請用戶及時升級病毒碼版本。

· 亞信安全DS產品的DPI規(guī)則已經可以檢測該漏洞，規(guī)則如下：

1004978- MSCOMCTL.OCX RCE Vulnerability For Office Binary File(CVE-2012-0158)

1004973- MSCOMCTL.OCX RCE Vulnerability For Rich Text File (CVE-2012-0158)

1006071- Heuristic Detection Of Malicious PDF Documents-1(CVE-2007-5669,CVE-2010-2883)

1004393- Adobe Reader SING Table Parsing Vulnerability (CVE-2010-2883)

IOCs

SHA256 b261f49fb6574af0bef16765c3db2900a5d3ca24639e9717bc21eb28e1e6be77