При этом используется эксплойт, основанный на уязвимости механизма обработки TIFF, присутствующей в Adobe Reader 9.3 и более ранних версий для Windows, Mac и Unix. Чтобы антивирусы не распознавали эксплойт, изображение обрабатывается фильтром JBIG2Decode, обычно применяемым для минимизации размера монохромных TIFF-файлов. Злоумышленники воспользовались тем, что спецификация PDF допускает произвольное применение фильтров вроде JBIG2Decode, в том числе многократное на одном и том же объекте.

В AVAST предполагают, что с помощью того же метода маскируются и другие эксплойты, в том числе основанный на уязвимости обработчика шрифтов TrueType, присутствующей в Reader 9.3.4 для всех платформ. По мнению специалистов компании, распознавание замаскированных PDF-эксплойтов потребует специализированных алгоритмов вместо обычных сигнатурных проверок.

Поделитесь материалом с коллегами и друзьями