問題の説明
この問題は2回発生しており、共有ファイルパスを持つ一部のPDFファイルを開いてアクセスできないとお客様から報告されました。私は彼らのPDFファイルが特定の時点で書き直されていることをリモートで見つけました。
ユーザーがPDFにアクセスすると、次の警告プロンプトが表示されます。
埋め込みフォント「シネマ」を抽出できません。一部の文字が正しく表示または印刷されない場合があります。
問題の処理
一部のウイルス対策ソフトウェアではウイルスは報告されていませんが、この問題は実際に元のファイルとは異なります。
この状況は、最近最も人気のあるランサムウェアに似ていますが、それほど特徴的な機能はありません。サンプルをトレンドマイクロに送信すると、エンジニアはウイルスVirus.Win32.ASRUEX.A.origのAsruex Backdoor種類をフィードバックします。
Asruexは、PowerShellダウンロードスクリプトを使用したショートカットファイルを介してシステムに感染し、リムーバブルドライブとネットワークドライブを介して拡散します。次の図は、マルウェアの感染チェーンを示しています。
以下は、Asruex Backdoorはじめに:
Asruexは、2015年の最初の登場以来、バックドア機能とスパイウェアDarkHotelへの接続で知られています。ただし、PDFファイルでAsruexに遭遇したとき、特に古い脆弱性CVE-2012-0158およびCVE-2010-2883、Inject WordおよびPDFファイルをそれぞれ使用することにより、マルウェアの亜種が感染者としても機能する可能性があることがわかりました。 。
修正された古いバグを使用すると、Adobe Reader(バージョン9.4より前の9.x)およびAcrobat(バージョン8.2より前の8.x)の使用に影響するため、バリアントが設計されている可能性があります。.5)WindowsおよびMac OSXの場合。
問題が解決しました
この問題は、当面の間、バックアップ方法を復元することによってのみ解決できます。バックアップの保存期間が短く、後で問題が発見された場合、感染したオブジェクトを正常に復元できない可能性があります。
@ 20200701更新
この問題は最近再び発生しました。お客様はAdobeReaderのバージョンも更新しましたが、同様のインシデントが引き続き発生します。私は本当に心配しています...ソースを見つける以外に方法はありません。
- 問題のあるフォルダのNTFS監査機能を有効にする
- [オブジェクトアクセスの監査]機能を有効にする
- 監査ログを表示する[ログID:4663リムーバブルストレージ]
试图访问对象。
使用者:
安全 ID: ZHONG\infra01
帐户名: infra01
帐户域: ZHONG
登录 ID: 0x6E582C
对象:
对象服务器: Security
对象类型: File
对象名: C:\Downloads
句柄 ID: 0xad8
资源属性: S:AI
进程信息:
进程 ID: 0x1f00
进程名: C:\Windows\explorer.exe
访问请求信息:
访问: READ_CONTROL
访问掩码: 0x20000
参照
-
トレンドマイクロのリンク情報:
https ://blog.trendmicro.com/trendlabs-security-intelligence/asruex-backdoor-variant-infects-word-documents-and-pdfs-through-old-ms-office-and-adobe-vulnerabilities/ -
Windowsログリファレンス:
