Un Trojan compromette i file PDF

di Pasquale Miele

Pubblicato 31 Ottobre 2007
Aggiornato 12 Febbraio 2018 20:50

logo PMI+ logo PMI+

Le principali aziende, produttrici di software per la sicurezza, hanno rilevato in rete un nuovo malware che sfrutta una falla associata ai file PDF e al browser Internet Explorer.

Si tratta del Trojan Pidief.A che colpisce sia Windows XP che Windows Server 2003 provvisti del broswer di casa Microsoft.

La falla è relativa alla gestione sbagliata degli indirizzi URI contenuti nei file PDF: in realtà Adobe ha rilasciato una patch sia per Adobe Reader che Acrobat e il problema risiede in Internet Explorer visto che Microsoft non ha rilasciato ancora nessun “cerotto” per il proprio software.

Il documento sotto accusa si sta diffondendo sotto forma di allegato attraverso le email e usa nomi differenti: quelli scoperti fino ad ora sono BILL.pdf, INVOICE.pdf, YOUR_BILL.pdf e STATEMET.pdf. Il bug, nei file creati ad hoc, è causato dall’errata gestione del protocollo mailto, che come conseguenza avvia il download del malware sul PC.

Una volta infettato il computer, come prima cosa, il Trojan disabilita il firewall, eseguendo il comando
netsh firewall set opmode mode=disable
In seguito, sfruttando il protocollo FTP, scarica un altro malware situato sul server 81.95.146.130. Connettendosi al suddetto server ci si renderà conto che esso ospita un solo file denominato ldr.exe: si tratta di un ulteriore codice nocivo.

Finché Microsoft non rilascerà una patch, è consigliabile leggere questo advisory e rifiutare qualunque file PDF proveniente da fonti non attendibili.