问题描述
此问题已经遇到2次,客户反馈部分共享文件路径的PDF文件无法打开访问。我远程发现他们的PDF文件都在某一个时间节点被重写。
用户访问PDF会提示如下的告警提示:
无法提取嵌入的字体"Cinema"。某些字符可能无法正确显示或打印。
问题处理
通过一些杀毒软件没有报出有病毒,但此问题确确实实此文件已经与原来有差异的。
这种情况与时下最热门的勒索软件有一些像的,不过他没有太显著的特征。将样本提交到趋势科技,工程师反馈病毒是Virus.Win32.ASRUEX.A.orig
,属于Asruex Backdoor
类型。
Asruex通过具有PowerShell下载脚本的快捷文件来感染系统,并通过可移动驱动器和网络驱动器传播。下图说明了恶意软件的感染链。
如下是Asruex Backdoor
介绍:
自2015年首次出现以来,Asruex以其后门功能以及与间谍软件DarkHotel的连接而闻名。但是,当我们在PDF文件中遇到Asruex时,我们发现该恶意软件的一种变体也可以充当感染者,特别是通过使用旧漏洞CVE-2012-0158和CVE-2010-2883,它们将代码注入Word和分别为PDF文件。
使用已修复的旧漏洞可能暗示该变种是经过设计的,因为它会影响使用较旧版本的Adobe Reader(版本9.4之前的9.x)和Acrobat(版本8.2之前的8.x)的目标。 .5)在Windows和Mac OS X上。
问题解决
此问题暂时只能够通过恢复备份方式来解决。如果你备份保留周期短且问题发现比较迟的话,可能你将无法成功恢复受感染的对象。
参考资料
https://blog.trendmicro.com/trendlabs-security-intelligence/asruex-backdoor-variant-infects-word-documents-and-pdfs-through-old-ms-office-and-adobe-vulnerabilities/