收邮件须小心 PDF木马成商业间谍利器

mimisky

金山毒霸反病毒专家指出，一旦收件人阅读了这个PDF附件，那么很糟糕，将会立即掉进黑客的陷阱。因为文档中包含一个后门木马文件，将被害人电脑与黑客远程服务器连接起来，等候黑客指令。

　　金山毒霸反病毒工程师分析PDF文档后发现，这份PDF文档经过精心构造，嵌入了一个能利用Adobe Reader安全漏洞进行远程攻击的木马。病毒会在WINDOWS\system32\目录下释放出一个wuausrv.dll文件，并修改注册表实现自启动，于下一次开机后连接到多个远程服务器，静默等候黑客的控制指令。

　　而被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会发生溢出事件，导致木马可以绕过系统安全模块运行。

　　早在今年4月份时，这一漏洞就已经被安全业内人士发现并发出了警告，但由于Adobe Reader等PDF阅读器的升级机制问题，总还是会有不少用户电脑中依然存在这一漏洞。金山反病毒专家推测，黑客很可能是掌握了这一规律，才精心制作了这封“毒”邮件。

　　由于这封毒邮件的内容直接与经济、金融问题相关，再结合金融危机以来国内外曝出的一系列商业间谍案，金山毒霸反病毒专家严重怀疑此病毒很可能是一款商业木马。操纵该病毒的黑客组织的目标，就是国内金融或经济界的业内人士，一旦在这些人员的电脑上种植了后门程序，黑客便有机会掌握大量的商业敏感信息，从而靠贩卖商业情报谋取暴利。