Хитроумные вирусы обходят защиту

Антивирусы распознают коды большинства вредоносных программ. Поэтому хакеры делят их на части и распределяют фрагменты по PDF-документу, часто в закодированном виде. 57% атак вредоносного ПО из Сети используют уязвимости в программа для чтения PDF.

  1. Маскировка: код, разбросанный по PDF
    PDF-документы состоят из таких элементов, как текст, шрифт, корректурные знаки, формы и метки перехода. На 100 страницах можно обнаружить до 10 000 объектов. Хакеры используют следующую хитрость: они разбивают и распределяют вредоносный код по нескольким объектам, после чего антивирусу очень сложно его обнаружить.
  2. Соединение: Reader загружает PDF и собирает код
    Когда Reader открывает PDF-файл, он соединяет различные объекты и отображает содержание 8 соответствии с их параметрами. При этом программа выполняет и находящиеся в объектах скрипты, например JavaScript или Visual Basic, как в случае с PDF-эксплоитом Pidief. Первая же команда приложения собирает фрагменты кода из различных объектов и приводит его в действие, что может вызвать, в частности, переполнение буфера.
  3. Заражение: вредоносное ПО захватывает компьютер
    С помощью измененных PDF-файлов на ПК попадают самые разнообразные опасные программы. Среди них лидируют трояны, например ZeuS (известный также как Zbot и Kneber).
  4. Выполнение: вредоносный код «взрывает» область памяти
    Запущенное таким образом зловредное ПО заполняет область памяти программы для просмотра PDF бессмысленным кодом, тем самым обеспечивая себе возможность попасть в следующую область и выполниться оттуда. Часто это бывает дроппер, загружающий вирусы из Сети.

Как защитить себя от зараженных PDF-файлов?

  1. Скрипты
    В Adobe Reader в меню «Редактирование -> Установки -> JavaScript» снимите галочку напротив пункта «Активировать Acrobat JavaScript». Кроме того, можно запретить выполнение внешних программ в «Диспетчере доверия».
  2. Альтернативные решения
    Большинство PDF-эксплоитов ориентированы на Adobe Reader, поэтому я советую использовать другую утилиту, например Foxit Reader. И не забывайте регулярно обновлять программу.
  3. Проверка файлов
    Хакеры предпочитают посылать зараженные PDF-файлы по электронной почте. Отправьте подозрительное вложение на анализ команде VirusTotal с помощью клиента Uploader.