Novo malware explora falha em PDF
E-mail sobre a Copa do Mundo espalha o malware
Pesquisadores da Symantec informaram recentemente que criminosos estão usando a Copa do Mundo como tema para espalhar PDFs maliciosos que exploram uma falha de segurança no Adobe Reader.
A mensagem falsa com o PDF malicioso chega para os usuários como se tivesse sido enviada pela Greenlife, organizadora de safáris da África.
A Greenlife produziu um guia informativo sobre a Copa do Mundo (disponível aqui no formato PDF) na África do Sul para ajudar as pessoas que querem programar sua viagem.
O problema é que os criminosos fizeram o download do guia, incorporaram códigos maliciosos e o estão distribuindo em mensagens de e-mail falsas. Se o usuário receber a mensagem falsa e abrir o PDF malicioso, o código extrairá e executará dois arquivos codificados em XOR.
Em seguida, para cada arquivo localizado no diretório C:\WINDOWS\System32, o malware cria um novo diretório e dois arquivos como estes abaixo, por exemplo:
C:\WINDOWS\System32\\notepad.exe.new,
C:\WINDOWS\System32\\notepad.exe.
O malware então adiciona o arquivo pcidump.sys ao diretório C:\WINDOWS\System32\Drivers e o arquivo mpvps.dll ao diretório C:\Program Files\Windows Media Player.
O arquivo pcidump.sys funciona como um rootkit e o mpvps.dll é registrado como um serviço chamado "Remote Access Connection Locator".
Além disso, o malware tente se conectar a outras máquinas na mesma rede para tentar propagar o ataque.
De acordo com a Symantec, qualquer mensagem que chegar por e-mail trazendo o guia da Greenlife deve ser apagada imediatamente. Se você quiser o guia, baixe-o diretamente do site.
A mensagem falsa com o PDF malicioso:
Pesquisadores da Symantec informaram recentemente que criminosos estão usando a Copa do Mundo como tema para espalhar PDFs maliciosos que exploram uma falha de segurança no Adobe Reader.
A mensagem falsa com o PDF malicioso chega para os usuários como se tivesse sido enviada pela Greenlife, organizadora de safáris da África.
A Greenlife produziu um guia informativo sobre a Copa do Mundo (disponível aqui no formato PDF) na África do Sul para ajudar as pessoas que querem programar sua viagem.
O problema é que os criminosos fizeram o download do guia, incorporaram códigos maliciosos e o estão distribuindo em mensagens de e-mail falsas. Se o usuário receber a mensagem falsa e abrir o PDF malicioso, o código extrairá e executará dois arquivos codificados em XOR.
Em seguida, para cada arquivo localizado no diretório C:\WINDOWS\System32, o malware cria um novo diretório e dois arquivos como estes abaixo, por exemplo:
C:\WINDOWS\System32\
C:\WINDOWS\System32\
O malware então adiciona o arquivo pcidump.sys ao diretório C:\WINDOWS\System32\Drivers e o arquivo mpvps.dll ao diretório C:\Program Files\Windows Media Player.
O arquivo pcidump.sys funciona como um rootkit e o mpvps.dll é registrado como um serviço chamado "Remote Access Connection Locator".
Além disso, o malware tente se conectar a outras máquinas na mesma rede para tentar propagar o ataque.
De acordo com a Symantec, qualquer mensagem que chegar por e-mail trazendo o guia da Greenlife deve ser apagada imediatamente. Se você quiser o guia, baixe-o diretamente do site.
A mensagem falsa com o PDF malicioso:
