【警告】Adobe Reader/Acrobatの(CVE-2010-1297) ゼロデイ攻撃

7月1日から新しいjavascriptマルウェア攻撃仕組みが発見されました。数的には沢山出ました。攻撃の方向は同時にメール添付とアカウントをハッキングされたホームページです。
メール側の攻撃ですと添付されたPDFファイルが多いのでつい最近Adobe Acrobat/Readerのセキュリティ問題(CVE-2010-1297) を使われ、攻撃ターゲットはターゲットはパッチが未だインストールされてないユーザです。
ウェブ側の攻撃はjavascriptマルウェアの形は直接javascriptURLファイルのソース(.js)ですが、そこからPDFやFlash若しくは悪戯TIFF画像ファイルのURLへ転送されて、Adobe Acrobat/Readerのセキュリティパッチが未だインストールしてないユーザを狙っています。
下記は本件の発見されたjavascriptのスナップショットコードです↓


メールやウェブ攻撃仕組みについて下記の説明になります、前回このブログに書いたjavascriptマルウェアの関係があるので詳細な説明を書く積もりです↓

先ずはウェブページやメール添付HTMLで「y＊＊＊o.js」ファイル又はjavascriptコードがユーザに届いて、このファイルにイニシャルjavascriptマルウェアですがあります。
「y＊＊＊o.js」が「IFRAME」で他のマルウェアサイト[i＊＊＊.html」を開来ます。現在「y＊＊＊o.js」に対して様々なマルウェア対策ソフトの検地率は未だ０％の状況です。
それで「i＊＊＊.html」がjavascriptマルウェアのredirector種類があり、実行されたらリモートにある「l＊＊＊g.txt」テクストと「a＊＊＊ey.swf」のFlashファイルをダウンロードされてしまいます。
「a＊＊＊ey.swf」の中にCVE-2010-1297のexploitが発見し 「a＊＊＊ey.swf」ファイル自体のマルウェア検地率は現在未だ弱くて…大体は5%～7.5%です、virustotalのスキャン結果はこちらです。
さらに「l＊＊＊g.txt」の中にshellcodeが書いてあります。shellcodeと「a＊＊＊ey.swf」のexploitをメモリーにマージされたらユーザのPCに攻撃が可能になります。そもそも「l＊＊＊g.txt」の検地率は０％です（ウイルス対策メーカが言うのはこのファイルは形的にはただのテキストファイルだから…）。
ところが、「a＊＊＊ey.swf」に入ったexploitを実行されたAcrobat/Flashなどがクラッシュになってしまい、本物のマルウェアファイルをダウンロードされてしまいます、ダウンロードされたマルウェアファイル名は「l＊＊＊g.exe」です。このマルウェアファイルの検地率は58.53%です、virustotalのスキャン結果はこちらです。

本件の攻撃はPDF/Flash/Tiffファイル/.JSファイルの実行仕組みになり沢山発見されてますので、現状は「警告」レベルとなります。皆様のPCにAdobeのセキュリティーアップデートを早めにインストールして下さい。

下記本件セキュリティ問題のデモビデオとなります↓

---
http://0day.jp
マルウェアリサーチ
アドリアン・ヘンドリック