Thứ Hai, 10 tháng 5, 2010

Các tệp PDF lan truyền sâu Windows

PDF files spread Windows worm

30 April 2010, 13:00

Theo: http://www.h-online.com/security/news/item/PDF-files-spread-Windows-worm-990647.html

Bài được đưa lên Internet ngày: 30/04/2010

Lời người dịch: Thủ phạm lần này là sâu chỉ dành riêng cho Windows lan truyền qua tệp PDF: Win32/Auraax.

Các nhà cung cấp phần mềm chống virus đang nói những nỗ lực xa hơn của bọn tội phạm sử dụng các tệp PDF lừa đảo để gây lây nhiễm cho các hệ thống Windows bằng những phần mềm độc hại. Theo sau sự phổ biến gần đây của những tài liệu có chứa ZeuS bot, bây giờ spam đang lan truyền một PDF mà chứa một sâu.

Scripts hoặc các tệp exe được nhúng trong các tệp PDF có thể chạy được bởi các phương tiện của chức năng Launch Actions/Launch File. Mặc dù Adobe Reader không yêu cầu người sử dụng liệu học có muốn chạy một tệp nhúng hay không, thì hộp thông điệp có thể được thiết lập cấu hình như thể người sử dụng không có lý do để nghi ngờ rằng thứ gì đó khiếm nhã đang sắp xảy ra.

Các nguồn, bao gồm cả X-Forrce của IBM, hiện đang nói spam với dòng chủ đề “Việc thiết lập hộp thư của bạn sẽ thay đổi”. Thư điện tử này nói tệp PDF gắn kèm có chứa những chỉ dẫn cho việc thiết lập cấu hình lại tài khoản thư điện tử của người sử dụng. Mặc dù Adobe Reader hiển thị một cảnh báo khi tệp PDF đang mở, thì một số người sử dụng hình như đơn giản là nháy vào núm mở để xem tài liệu. Điều này dẫn tới trong tệp PDF chạy một VBScript mà nó viết tệp game.exe tới máy tính và sau đó chạy nó.

Tệp này có chứa sâu Win32/Auraax. Để đo hàng, Auraax cài đặt một bộ công cụ rootkit và cố gắng viết bản thân nó tới bất kỳ ổ nào (như các ổ USB) kến nối với hệ thống. Mặc dù hầu hết các phần mềm chống virus dò tìm ra các phần mềm độc hại thì được khuyến cáo hãy vô hiệu hóa lựa chọn “Allow opening of non-PDF file attachments with external applications” (“Cho phép việc mở các tệp gắn kèm không phải PDF với những ứng dụng bên ngoài”) từ thực đơn Edit/Preferences/Trust Manager trong Adobe Reader. Lựa chọn này được kích hoạt mặc định. Foxit Reader hình như dễ bị những cuộc tấn công như vậy và cũng hiển thị một cảnh báo, nhưng không có lựa chọn nào để vô hiệu hóa chức năng Launch.

Vì một thông điệp cảnh báo được hiển thị, Adobe khoogn phân loại vấn đề an ninh này là nguy kịch. Adobe coi nó là một chức năng hữu dụng mà chỉ trở thành một vấn đề khi được sử dụng không đúng.

Anti-virus software vendors are reporting further efforts by criminals to use crafted PDF files to infect Windows systems with malware. Following recent dissemination of documents containing the ZeuS bot, now spam is spreading a PDF that contains a worm.

Scripts or exe files embedded in PDF files can be executed by means of the Launch Actions/Launch File function. Although Adobe Reader does ask users whether they want to run an embedded file, the message box can be configured such that the user has no reason to suspect that something untoward is about to happen.

Sources, including IBM's X-Force, are currently reporting spam with the subject line "Setting for your mailbox are changed". The email claims the attached PDF contain instructions for reconfiguring the user's e-mail account. Although Adobe Reader does display a warning when the PDF file is opened, some users are likely to simply click the open button to view the document. This results in the PDF file executing a VBScript which writes the file game.exe to the computer and then executes it.

The file contains the worm Win32/Auraax. For good measure, Auraax installs a rootkit and attempts to write itself to any drives (e.g. USB drives) connected to the system. Although most anti-virus software detects the malware it is advisable to deactivate the "Allow opening of non-PDF file attachments with external applications" option from the Edit/Preferences/Trust Manager menu in Adobe Reader. This option is activated by default. Foxit Reader is likewise susceptible to such attacks and also displays a warning, but there is no option to disable the Launch function.

Because a warning message is displayed, Adobe does not classify this security problem as critical. Adobe considers it to be a useful function which only becomes a problem when used incorrectly.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.