Перейти к содержанию

Атака через PDF, не требующая особых уязвимостей


Рекомендуемые сообщения

Евгений Малинин
Опубликовано

Дидье Стивенс (Didier Stevens) продемонстрировал возможность частичного управления сообщением, которое выдает Adobe Reader при запуске включенного в pdf исполняемого файла (в принципе, Reader не дает запускать включенные exe-файлы, но нашелся способ обойти и это).

 

Предупреждение выводится в текстовое поле высотой всего в три строки, и у создателя pdf-файла есть возможность добавить к тексту сообщения достаточно строк, чтобы пользователь увидел лишь их, ну а дальше за дело принимается старая добрая социальная инженерия. Все, что используется при подобной атаке - вполне штатные средства PDF, запрет JavaScript никак на нее не влияет. По словам Стивенса, у Foxit Reader дела еще хуже - он вообще не выдает предупреждений о запуске, хотя данный конкретный пример на нем пока и не удалось завести.

 

© http://bugtraq.ru/rsn/archive/2010/04/01.html

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Dmitrii_Ar
      Автор Dmitrii_Ar
      Коллеги, доброе утро! Поймали какую то гадость возможно через серверную почту, зашифровались все файлы и расширение сменилось на простую . 
      Систему зазаложило настолько сильно, что сделать было в принципе ничего не возможно, и  было принято решение сносить все под чистую. Самая большая проблема в том, что на ПК велась разработка софта пред релизной версии со всеми исходниками, единственное что удалось спасти несколько библиотек( 
      Основную пытались реанимировать ,на сколько смогли. Дальше не хватает. Спасибо за любую помощь!
      stec vir(crypt).rar
    • SergD
      Автор SergD
      Через RDP была занесена зараза, опознанная KVRT как Virus.Win32.Neshta.a.
      Dr.Web определил шифровальщика как Trojan.Encoder.37400.
      Нужно расшифровать базы MSSQL, а то мне уже нехорошо.
      FRST.zip ReadMe.zip ВозможноВирус.zip Шифрованые.zip
    • tau34
      Автор tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • foxden
      Автор foxden
      Здравствуйте,
      На домашнем сервере все файлы оказались зашифрованы, а там был семейный архив фотографий и видео. 😞 Помогите расшифровать файлы.
      Результат отработки Farbar Recovery Scan Tool и архив с зашифрованными файлами прилагается.
       
      frst.rar locked_file.rar
    • CBUAleksandrK
      Автор CBUAleksandrK
      Добрый день! Знакомая, с ее слов, скачала книгу в формате doc/docx (Ворд, конкретно формат не знаю, к сожалению, она тоже, т.к. не понимает в этом), сейчас у нее KIS ругается на троян в оперативной памяти, лечение с перезагрузкой, к сожалению, не помогает, тот же самый троян после перезагрузки машины KIS видит вновь. Логи с Автологгера и скрин из KIS прикладываю, надеюсь все корректно оформил. Заранее спасибо!

      CollectionLog-2025.05.13-16.38.zip
×
×
  • Создать...