Exploit.Win32.Pidief

После открытия вредоносного PDF документа, эксплоит использует Adobe XML Forms для запуска на выполнение обфусцированного вредоносного Java Script, который содержит в себе основную часть кода эксплоита. Затем вредонос использует уязвимость в библиотеке «icucnv36.dll», выполняя переполнение буфера, которое возникает при вызове уязвимого метода одной из функций utrie_set32_3_6() и utrie_setRange32_3_6(). При успешной эксплуатации уязвимости, эксплоит выполняет загрузку файла, который располагается по ссылке:

http://flo***g.info/nte/avorp1vena.exe/yUa89f46e4Hcca4793eV0



4f04753003R00000000102T8043eeb7Q00000000901800F0067010a



J16000601l08093290

и сохраняет его во временный каталог текущего пользователя с именем:

%Temp%ciJe.dll

Затем вредонос, при помощи командной строки, запускает вредоносную библиотеку:

regsvr32 -s %Temp%ciJe.dll

На момент создания описания ссылка не работала.