Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Adobe Reader remove filter
AES-256 で保護された PDF マルウェア
Kazumasa Itabashi | 26 Dec 2011 | 0 comments

Adobe Systems は、2011 年 12 月 16 日、ゼロデイ脆弱性を修正するために Windows 版 Adobe Acrobat および Reader 9.x のセキュリティアップデートを公開しました。最近 Vikram Thakur が報告したとおり、PDF のこの脆弱性を利用して侵入先のコンピュータに Backdoor.Sykipot を投下するゼロデイ脆弱性攻撃が発生しているためです。

シマンテックでは、この同じ脆弱性を使った PDF マルウェアの亜種が存在することを確認しました。今回の PDF マルウェアは、PDF の仕様に固有で見られる暗号化手法を利用しています。『Portable Document Format Malware』と題したホワイトペーパーにも書いたように、PDF マルウェアで使われている暗号化手法は、RC4 から AES に変更されています。AES では、暗号化キーの長さが 128 ビットと指定されていますが、この亜種は暗号化手法として AES-256 を採用しており、キーの長さは 256 ビットです。PDF で AES-256 を使う暗号化手法の仕様は、ISO32000 版の PDF 拡張仕様であり、Adobe の Web サイトから PDF 拡張文書ファイルをダウンロードすることができます。PDF 文書で暗号化キーの作成に使われるアルゴリズムが RC4 や AES...

Read more
PDF Malware Protected by AES-256
Kazumasa Itabashi | 23 Dec 2011 | 0 comments

Adobe Systems released a security update for Adobe Acrobat and Reader 9.x for Windows on December 16, 2011, in order to fix a zero-day vulnerability. As Vikram Thakur reported recently, there have been zero-day attacks using this PDF vulnerability, dropping Backdoor.Sykipot on to the compromised computer.

We have found another variant of PDF malware in the wild using the same vulnerability. This version of PDF malware uses an encryption method that is found natively in the PDF specifications. As I wrote in my Portable Document Format Malware whitepaper, the encryption method used by PDF malware has changed...

Read more
Adobe Reader のゼロデイ脆弱性の悪用
Stephen Doherty | 07 Dec 2011 | 0 comments

Adobe が緊急の脆弱性(CVE-2011-2462)に関するセキュリティ情報を発行しました。影響を受けるのは、以下の製品です。

  • Windows、Macintosh 版 Adobe Reader X(10.1.1)以前のバージョン
  • Windows、Macintosh 版 Acrobat X(10.1.1)以前のバージョン
  • Adobe Reader 9.4.6 以前のバージョン
  • UNIX 版バージョン 9.x

この緊急の脆弱性は、11 月 1 日と 5 日に送信された標的型攻撃の電子メールで悪用され、被害が出ています。この攻撃は、ゼロデイ脆弱性を利用して、標的のコンピュータを Backdoor.Sykipot に感染させます。

Backdoor.Sykipot は 2010 年 1 月以来、標的型攻撃で利用されており、ゼロデイ脆弱性と組み合わせて使われたのも今回が初めてではありません

シマンテックでは、悪質な PDF 文書(Trojan.Pidief)と、Backdoor.Sykipot...

Read more
Adobe Reader Zero-day being exploited in the wild
Stephen Doherty | 07 Dec 2011 | 0 comments

Adobe has issued a public advisory regarding a critical vulnerability (CVE-2011-2462) that affects:

  • Adobe Reader X (10.1.1) and earlier versions for Windows and Macintosh
  • Adobe Acrobat X (10.1.1) and earlier versions for Windows and Macintosh
  • Adobe Reader 9.4.6 and earlier
  • 9.x versions for UNIX

This critical vulnerability has recently been seen exploited in the wild in targeted attack emails sent on November 1st and 5th. This attack leverages the zero-day vulnerability in order to infect target computers with Backdoor.Sykipot.

We have seen Backdoor.Sykipot used in targeted attacks since January, 2010 and this is...

Read more
PDF コンテナの脅威
Takashi Katsuki | 10 Aug 2010 | 0 comments

昨年、「The Fight Against Malicious PDFs Using the ASCII85Decode Filter(ASCII85Decode フィルタを利用する悪質な PDF との闘い)」というタイトルで、ASCII85Decode フィルタを利用して自身を隠蔽する脅威についてのブログエントリを執筆しました。それ以降 Adobe Reader には、最近のゼロデイ脆弱性をはじめとして、いくつかの脆弱性が見つかっていますが、攻撃者は直接的な悪用だけでなく、ソーシャルエンジニアリングも利用する傾向があります。その理由を私はこう考えています。ソフトウェアの脆弱性はパッチで比較的簡単に修正できますが、ソーシャルエンジニアリングの場合は私たち(潜在的な被害者)がその危険性を理解し認識する必要があり、それが容易ではないからだと。

つい最近では、PDF ファイルを「コンテナ」ファイルとして利用するソーシャルエンジニアリング手法も確認されています。PDF によるこの脅威は、添付ファイルとして 7-Zip ファイルを含み、その 7-Zip ファイルを開くようにユーザーを誘導するメッセージダイアログを表示します。ユーザーが使っている PDF リーダーのバージョンに応じて JavaScript でメッセージダイアログを切り替える機能もあります。Adobe Reader バージョン 6 でこの脅威を開くと、以下のような中国語のメッセージが表示されます。

ざっと翻訳すると、「...

Read more
PDF Container Threat
Takashi Katsuki | 09 Aug 2010 | 0 comments

Last year I wrote a blog entry entitled The Fight Against Malicious PDFs Using the ASCII85Decode Filter, which is about a threat that uses the ASCII85Decode filter to hide itself. Since that time, some Adobe Reader vulnerabilities have been found, including a recent zero-day vulnerability. However, attackers like to use not only direct exploitation, but also social engineering. I think this is because patches can fix software vulnerabilities fairly easily, but social engineering requires us (as potential victims) to understand and know what is dangerous, which is never easy.

More recently, I have discovered a social engineering threat that uses a PDF file as a “container” file. This PDF threat contains a 7-Zip file as an attachment...

Read more
PDF スパムが、またしても再来
Shravan Shashikant | 09 Jul 2010 | 0 comments

2010 年 7 月 1 日、シマンテックは PDF を経路に利用した大規模なスパム攻撃を検出しました。この攻撃では、電話料金の請求書を偽装した PDF ファイルが添付され、その中の電話番号を確認するよう受信者に求める巧妙なメッセージが利用されています。PDF に含まれるペイロードは、シマンテックが Trojan.Pidief.I として検出しているトロイの木馬であり、これは Adobe Acrobat and Reader CVE-2010-0188 Unspecified Remote Code Execution vulnerability(CVE-2010-0188: Adobe Acrobat および Reader に不特定のリモートコード実行の脆弱性)を悪用して、感染したコンピュータに別のマルウェアを投下します。

Trojan.Pidief.I による攻撃のサンプル

この攻撃は 3 時間続き、同じ時間帯に確認された全スパムのうちでは約 6%、同日に確認された全スパムのうちでは約 1% を占めました。PDF スパムは新しいものではありませんが、シマンテックが 6 カ月間に確認した中では最大の比率となっています。次のグラフは、過去 6 カ月間に出現した、PDF を利用したスパムの傾向を示したものです。

このグラフからわかるように、PDF の利用は流行していますが、1 カ月程度の間隔で新しい亜種による攻撃が急激に現れ、数日間だけ継続するという手口のようです。...

Read more
PDF Spam is Back—Again!
Shravan Shashikant | 08 Jul 2010 | 0 comments

Symantec detected a major spam attack using the PDF vector on July 1, 2010. The attack comprises a crafty message asking the recipient to confirm his or her phone number in a PDF file attachment disguised as a phone bill. The payload within the PDF is a Trojan that is detected by Symantec as Trojan.Pidief.I, which exploits the Adobe Acrobat and Reader CVE-2010-0188 Unspecified Remote Code Execution vulnerability in order to drop additional malware on to the compromised computer.

Sample of the Trojan.Pidief.I attack

The attack lasted three hours and accounted for approximately 6% of all spam seen during that time, and it constituted approximately 1% of all spam seen on that day. Although PDF spam isn’t new, this is the...

Read more
ゼロデイの背後にあるつながり
Security Intel Analysis Team | 15 Jun 2010 | 0 comments

最近発見された「Adobe Flash Player, Adobe Reader, and Acrobat 'authplay.dll' Remote Code Execution Vulnerability (BID 40586)」(Adobe Flash Player、Adobe Reader、Adobe Acrobat の 'authplay.dll' にリモートでコードが実行される脆弱性)に関連するマルウェアとシェルコードを調べていたところ、2010 年 3 月以降に発生している「Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability (BID 38615)」(Microsoft Internet Explorer の 'iepeers.dll' にリモートでコードが実行される脆弱性)に対する標的型攻撃で使われたマルウェアとシェルコードの中に、興味深い類似性を発見しました。

第 1 の類似点:シェルコード

次の画像は、2010 年 3 月に発見された「Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability」に対する標的型攻撃で使われた、関数をフックするシェルコードです。

次に、6 月初旬以降に「Adobe Flash Player, Adobe Reader, and Acrobat 'authplay.dll' Remote Code Execution Vulnerability」...

Read more
A Zero-day Connection
Security Intel Analysis Team | 14 Jun 2010 | 0 comments

While investigating the malware and shellcode that were associated with the recent Adobe Flash Player, Adobe Reader, and Acrobat 'authplay.dll' Remote Code Execution Vulnerability (BID 40586), we came across some interesting similarities to the malware and shellcode that were used in the Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability (BID 38615) targeted attacks from March 2010.

The first similarity is in the shellcode

The image below is the function-hooking shellcode that was used in the targeted attacks against the Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability in March 2010:

Below is the function-hooking shellcode that was used in the targeted attacks against the Adobe Flash...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,905