近日,亚信安全截获了嵌入Asruex后门病毒的PDF文档,该病毒利用CVE-2012-0158漏洞,向PDF文件注入恶意代码。它主要影响在Windows和MacOSX系统上使用的旧版Adob??eReader(9.x至9.4版)和Acrobat(8.x至8.2.5版)。趋势科技将其命名为Virus.Win32.ASRUEX.A.orig。Asruex后门病毒详解Asruex通过带有PowerShell下载脚本的快捷方式文件感染系统,通过可移动驱动器和网络驱动器进行传播。该恶意软件的感染链如下图所示:[Asruex的感染链]被感染的PDF文件安全专家截获的PDF文件是被Asruex变种感染的文件。如果您使用旧版本的AdobeReader和AdobeAcrobat打开该文件,其原始PDF文件仍会显示或打开,使用户认为它只是打开一个普通的PDF文件,而实际上,被感染的PDFfile将在后台生成并执行受感染的文件。此行为是由于特殊模板在附加主机文件时利用了CVE-2010-2883漏洞。该漏洞存在于Adob??e的排版引擎CoolType.dll的strcat函数中。由于此函数不需要检查正在注册的字体的长度,因此它会导致堆栈缓冲区溢出以执行其shellcode。最后它使用XOR来解密原始PDF主机文件。然后它生成并执行一个嵌入式可执行文件(趋势科技将其命名为Virus.Win32.ASRUEX.A.orig)。该可执行文件负责反调试和反仿真功能。它检查根目录中是否存在avast!Sandbox\WINDOWS\system32\kernel32.dll文件,然后进一步检查以下信息以确定它是否在沙盒环境中运行:计算机名称和用户名加载模块的导出功能·文件名·运行进程·运行进程的模块版本·磁盘名称中的某些字符串该可执行文件还将一个DLL文件(趋势科技检测为Virus.Win32.ASRUEX.A.orig)注入到合法的Windows进程中。此DLL文件负责恶意软件感染和后门功能。它感染文件大小介于42,224字节和20,971,520字节之间的文件。感染Word文档该病毒使用特殊模板利用CVE-2012-0158漏洞感染Word文档。该模板在下图中突出显示。[感染Word文档的模板]CVE-2012-0158漏洞允许潜在的攻击者通过Word文档或网站远程执行任意代码。与被感染的PDF类似,运行后仍会显示原来的Word文件,让用户以为它只是打开了一个普通的Word文件,实际上被感染的Word文件会在后台生成并执行被感染文件。然后它使用异或来解密原始DOC文件,生成并执行rundll32.exe文件。【使用异或解密原始DOC文件】【使用不同的文件名生成并执行感染文件】感染的可执行文件除了感染Word文档和PDF文件外,该恶意软件还感染可执行文件。此Asruex变体压缩并加密原始可执行文件或主机文件,并将其作为.EBSS部分附加到恶意文件。该恶意软件还会生成感染文件并正常执行主机文件。对于受感染的可执行文件,生成的受感染文件名是随机分配的。【host文件附在恶意软件的.EBSS段】【生成的感染文件使用任意文件名】趋势科技教你如何防范。应用系统范围和应用程序补丁;不要点击来源不明的邮件和附件;不要点击来源不明的邮件中的链接;使用强密码,避免弱密码,并定期更改密码;尝试关闭不必要的文件共享。趋势科技产品解决方案·趋势科技病毒码版本15.351.60、云病毒码版本15.351.71、全局病毒码版本15.353.00已准备好检测。请及时升级病毒码版本。·TrendMicroDS产品的DPI规则已经可以检测到该漏洞。规则如下:1004978-MSCOMCTL.OCXRCEOffice二进制文件漏洞(CVE-2012-0158)1004973-MSCOMCTL.OCXRCE富文本文件漏洞(CVE-2012-0158)1006071-恶意PDF文档启发式检测-1(CVE-2007-5669,CVE-2010-2883)1004393-AdobeReaderSING表解析漏洞(CVE-2010-2883)IOCsSHA256b261f49fb6574af0bef16765c3db2900a5d3ca24639e9717bc21eb277e16e1
