收邮件须小心 PDF木马成商业间谍利器

　　金山毒霸云安全中心近日截获一款借PDF文档传播的后门木马，病毒目标直指国内金融、经济界的业内人士，反病毒专家推测极有可能是一款商业木马。

　　在这封带毒的英文邮件中，发信人称自己是现居北京的《金融时报》编辑“帕姆”，他要求收件人阅读PDF文档中的名单，协助他完成一个所谓的研究课题访谈。这个研究课题看上去非常权威专业，因为邮件中说它涉及到工资、利润、通货膨胀、利率、资产价格、资本流动和汇率等一系列复杂的问题，并且还要对中国、印度等新兴经济体进行研究。

邮件中的联系人名单

　　金山毒霸反病毒专家指出，一旦收件人阅读了这个PDF附件，那么很糟糕，将会立即掉进黑客的陷阱。因为文档中包含一个后门木马文件，将被害人电脑与黑客远程服务器连接起来，等候黑客指令。

　　金山毒霸反病毒工程师分析PDF文档后发现，这份PDF文档经过精心构造，嵌入了一个能利用Adobe Reader安全漏洞进行远程攻击的木马。病毒会在WINDOWS\system32\目录下释放出一个wuausrv.dll文件，并修改注册表实现自启动，于下一次开机后连接到多个远程服务器，静默等候黑客的控制指令。

　　而被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会发生溢出事件，导致木马可以绕过系统安全模块运行。

　　早在今年4月份时，这一漏洞就已经被安全业内人士发现并发出了警告，但由于Adobe Reader等PDF阅读器的升级机制问题，总还是会有不少用户电脑中依然存在这一漏洞。金山反病毒专家推测，黑客很可能是掌握了这一规律，才精心制作了这封“毒”邮件。

　　由于这封毒邮件的内容直接与经济、金融问题相关，再结合金融危机以来国内外曝出的一系列商业间谍案，金山毒霸反病毒专家严重怀疑此病毒很可能是一款商业木马。操纵该病毒的黑客组织的目标，就是国内金融或经济界的业内人士，一旦在这些人员的电脑上种植了后门程序，黑客便有机会掌握大量的商业敏感信息，从而靠贩卖商业情报谋取暴利。

成功拦截该毒借助漏洞的运行

　　面对潜伏在邮件中的木马间谍和日益严峻的商业信息安全环境，金山毒霸反病毒专家李铁军建议广大专业人士和行业用户：要提高自身的信息安全意识，不要轻易打开陌生邮件，以免电脑被黑客控制，从而使商业机密泄露。下载免费的金山网盾可以成功拦截此漏洞。