趋势科技研究人员警告,一个锁定adobe Reader和Acrobat 9.1.3及之前多个版本的零日攻击,会在使用JavaScript的电脑留下一道后门。
趋势科技在一篇博客文章表示,名为"Troj_Pidief.Uo"的木马程序,会利用PDF文档形式包藏JavaScript恶意软件"Js_Agent.Dt",然后留下一个后门,名为"Bkdr_Protux.Bd"。这项攻击影响的系统包括微软Windows 98、ME、NT、2000、XP和Server 2003。
趋势的文章说明了该恶意软件运作的技术细节,尤其是shell code的动作。当中的JavaScript则是用来以"heap spraying"(堆积填充)方法执行强制码。
趋势科技表示:“根据我们的发现,这个(被堆积填充的)shell code,在取出并执行后门之前,会跳至该PDF文档内的另一个shell code。”这个后门“也内植在PDF文档内,而非寻常从网络下载的档案”。
Protux后门的变种通常能赋予攻击者无限制存取受害电脑的权利,之前也曾利用微软Office文档的漏洞散布。
adobe在本周二(13日)发布更新,修补此项安全漏洞。这天正好也是微软固定发布安全更新的日子。
网友评论