毒邮件截图
在这封由英文撰写的毒邮件中,发信人称自己是现居北京的《金融时报》编辑“帕姆”,他要求收件人阅读附件PDF文档中的名单,协助他完成一个所谓的研究课题访谈。这个研究课题看上去非常权威专业,因为邮件中说它涉及到工资、利润、通货膨胀、利率、资产价格、资本流动和汇率等一系列复杂的问题,并且还要对中国、印度等新兴经济体进行研究。我们猜想,部分收件人甚至会为自己能收到如此“珍贵”的邮件而激动。
邮件中的联系人名单
但如果你阅读了这个PDF附件,那么很糟糕,你会立即掉进黑客的陷阱,因为文档中包含一个后门木马文件,它会将你的电脑与黑客远程服务器连接起来,等候黑客指令。
金山毒霸反病毒工程师分析PDF文档后发现,这份PDF文档经过精心构造,嵌入了一个能利用Adobe Reader安全漏洞进行远程攻击的木马。该毒会在WINDOWS\system32\目录下释放出一个wuausrv.dll文件,并修改注册表实现自启动,于下一次开机后连接到多个远程服务器,静默等候黑客的控制指令。
而被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会发生溢出事件,导致木马可以绕过系统安全模块运行。不过经测试它无法绕过金山网盾的拦截,金山毒霸对该毒的命名为Win32.Troj.PdfDropper.eq和Win32.Troj.PdfDropper.ty。
金山网盾成功拦截该毒借助漏洞的运行
早在今年4月份时,这一漏洞就已经被安全业内人士发现并发出了警告,但由于Adobe Reader等PDF阅读器的升级机制问题,总还是会有不少用户电脑中依然存在这一漏洞。黑客很可能是掌握了这一规律,才精心制作了这封毒邮件。
由于这封毒邮件的内容直接与经济、金融问题相关,再结合金融危机以来国内外曝出的一系列商业间谍案,我们猜测此毒很可能是一款商业木马。操纵该毒的黑客组织的目标,就是国内金融或经济界的业内人士,黑客对受害人的挑选要求是首先能看懂专业名词较多的英文,其次得对经济学方面的事情干兴趣,同时还乐意同专业的经济媒体打交道,只有这样,受害人愿意去阅读附件的可能性才会高——显然,只有精英人群满足这些条件。
而一旦在这些人员的电脑上种植了后门程序,黑客便有机会掌握大量的商业敏感信息,从而靠贩卖商业情报谋取暴利。