Ερευνητής ασφάλειας εντόπισε ένα νέο spam email, το οποίο οδηγεί σε κακόβουλη ιστοσελίδα που διανέμει ένα κακόβουλο PDF (CVE-2009-0927). Η καμπάνια φαίνεται πως έχει θέσει στόχο την αμερικανική αμυντική αεροπορική βιομηχανία.
Εάν ο παραλήπτης ανοίξει το κακόβουλο αρχείο PDF,
ανοίγει ένα ψεύτικο έγγραφο και εμφανίζει μια ψεύτικη πρόσκληση για ένα event σχετικό με την αεροπορία.
Αν η συσκευή του θύματος δεν έχει ενημερωμένη έκδοση, τότε το shellcode που περιέχει το Pdf θα αρχίσει να εκτελείται, έπειτα θα δημιουργήσει ένα αρχείο και θα τρέχει το evtmgr.exe στον φάκελο Temp.
Το αρχείο exe εγκαθιστά ένα άλλο αρχείο dll, με την ονομασία mssrt726.dll, το οποίο δίνει τη δυνατότητα της επικοινωνίας μέσω διαδικτύου και ανοίγει το backdoor στη θύρα TCP 49163.
Το είδαμε: εδώ