Detect date
21/10/2009
Класс
Exploit
Платформа
Win32

Родительский класс: Malware

Вредоносные программы, разработанные для автоматизированного создания вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют опасности непосредственно для компьютера, на котором исполняются, все вредоносные действия программа совершает по прямому указанию пользователя.

Подробнее

Класс: Exploit

Программы, в которых содержатся данные или исполняемый код и которые используют одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере. Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, для заражения всех посетителей взломанного web-сайта вредоносной программой). Помимо этого, эксплойты интенсивно используются Net-Worm’ами для проникновения на компьютер-жертву без помощи пользователя. Среди эксплоитов выделяются программы-Nuker’ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

После открытия вредоносного PDF документа, эксплоит использует Adobe XML Forms для запуска на выполнение обфусцированного вредоносного Java Script, который содержит в себе основную часть кода эксплоита. Затем вредонос использует уязвимость в библиотеке "icucnv36.dll", выполняя переполнение буфера, которое возникает при вызове уязвимого метода одной из функций utrie_set32_3_6() и utrie_setRange32_3_6(). При успешной эксплуатации уязвимости, эксплоит выполняет загрузку файла, который располагается по ссылке:




http://flo***g.info/nte/avorp1vena.exe/yUa89f46e4Hcca4793eV0



4f04753003R00000000102T8043eeb7Q00000000901800F0067010a



J16000601l08093290



и сохраняет его во временный каталог текущего пользователя с именем:
%Temp%ciJe.dll
Затем вредонос, при помощи командной строки, запускает вредоносную библиотеку:
regsvr32 -s %Temp%ciJe.dll
На момент создания описания ссылка не работала.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.