經(jīng)分析，Adobe Reader 的這個(gè)漏洞是由于它在解析PDF 結(jié)構(gòu)時(shí)產(chǎn)生的錯(cuò)誤所造成的。當(dāng)帶病毒的文件被打開時(shí)，漏洞即被觸發(fā)。惡意PDF 文件中的JavaScript 腳本采用堆擴(kuò)散技術(shù)以增加攻擊代碼運(yùn)行的可能性。攻擊代碼會(huì)釋放惡意文件至受感染的計(jì)算機(jī)中執(zhí)行。

帶毒PDF 文件所釋放的惡意文件被檢測為Backdoor.Trojan 。此后門病毒就是大家熟悉的源自中國的Gh0st RAT，一個(gè)非常流行的開源工具包。它可以被用作窺視用戶桌面，記錄鍵盤輸入信息，以及遠(yuǎn)程操縱受感染的計(jì)算機(jī)。賽門鐵克將這類惡意PDF 文件定義為Trojan.Pidief.E。Bloodhound.PDF.6 啟發(fā)式檢測可以保護(hù)計(jì)算機(jī)防御這種病毒的攻擊。

根據(jù)目前受感染的PDF 文件樣本看來，病毒攻擊的目標(biāo)人群之一很可能是各大企業(yè)公司的高層管理人員。由于他們的email 地址一般可以在其所屬公司的網(wǎng)站上查到，因此很容易被病毒制造者利用。病毒制造者將含有惡意代碼的PDF 附件發(fā)送至他們的郵箱中，一旦這些帶病毒的文件得以運(yùn)行，導(dǎo)致電腦中毒，那么病毒制造者就有機(jī)會(huì)盜取管理人員計(jì)算機(jī)中的機(jī)要文件。由于這些文件包含公司的重要機(jī)密信息， 丟失或被盜都可能帶來巨大的經(jīng)濟(jì)損失，后果十分嚴(yán)重。賽門鐵克將繼續(xù)監(jiān)測該病毒的蔓延情況。
補(bǔ)丁

目前尚無針對此漏洞的補(bǔ)丁。

根據(jù)Adobe 公司的最新官方信息，針對此漏洞的補(bǔ)丁將于2009 年3 月11 日發(fā)布。
(http://www.adobe.com/support/security/advisories/apsa09-01.html)

應(yīng)對和防范

賽門鐵克建議用戶采取以下措施：

下載賽門鐵克防病毒產(chǎn)品的最新安全更新，以保護(hù)計(jì)算機(jī)抵御病毒攻擊。

不要輕易打開來自陌生地址的郵件；同時(shí)謹(jǐn)慎對待含有附件的email，不要輕易打開附件（尤 其是PDF 文件）以防中毒。

在Adobe Reader 中禁用JavaScript，打開DEP (Data Execution Prevention) 功能，這些措施都可以降低計(jì)算機(jī)受病毒攻擊的可能。

反病毒更新

賽門鐵克反病毒軟件已將此病毒命名為Trojan.Pidief.E，針對此漏洞的啟發(fā)性檢測方式為Bloodhound.PDF.6

yajing