Analysé par: Christopher Daniel So   
 Modifié par: : Roland Marco Dela Paz

 

Trojan.Pidief (Symantec); Troj/PDFJs-LB (Sophos)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Lâché par un autre malware

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.

  Détails techniques

File size: 195,757 bytes
File type: PDF
Memory resident: Non
Date de réception des premiers échantillons: 31 mai 2012
Charge malveillante: Drops files

Précisions sur l'apparition de l'infection

Infiltration sous forme de pièce jointe de messages de spam transmis par d''autres programmes malveillants/graywares/programmes espions ou par des utilisateurs malintentionnés.

Routine d'introduction

Introduit les fichiers suivants :

  • %User Temp%\svchost.exe - detected as BKDR_POISON.EQIA
  • %User Temp%\{malware file name} - non-malicious PDF
  • %User Temp%\iph.bat - executes %User Temp%\svchost.exe and %User Temp%\{malware file name}

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Profite des failles de sécurité logicielles suivantes afin d''introduire des fichiers malveillants :

  • Adobe Reader and Acrobat 'newplayer()' JavaScript Method Remote Code Execution Vulnerability

Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.

  Solutions

Moteur de scan minimum: 9.200
First VSAPI Pattern File: 9.156.01
First VSAPI Pattern Release Date: 31 mai 2012
VSAPI OPR Pattern Version: 9.157.00
VSAPI OPR Pattern Release Date: 31 mai 2012

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Suppression des fichiers de programmes malveillants introduits par TROJ_PIDIEF.HBP

    • BKDR_POISON.EQIA

Step 3

Effectuez un scan de l'ordinateur à l'aide de votre produit Trend Micro et prenez note des fichiers spécifiés comme étant TROJ_PIDIEF.HBP

Step 4

Recherche et suppression de ces fichiers

[ suite ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les "Options avancées" afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
  • %User Temp%\{malware file name}
  • %User Temp%\iph.bat

Step 5

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TROJ_PIDIEF.HBP Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.

Step 6

Télécharger et appliquer ces patchs de sécurité Évitez d’utiliser ces produits tant que les patchs appropriés n’ont pas été installés. Trend Micro recommande aux utilisateurs de télécharger les patchs critiques dès leur publication par les distributeurs. http://www.adobe.com/support/security/advisories/apsa09-07.html


Participez à notre enquête!