ラボは現在、PDFエクスプロイトを転送するスパムが出回っているのを確認している。

  そのメールは以下のようなものだ:


   From: random addresses
   To: random recipients
   Subject: New Resume
 
   Please review my CV, Thank You!
 
   Attachment: resume.pdf


  このPDF添付ファイルは、昨日の記事で紹介した重大なFlash脆弱性を利用してはいない。その代わり、PDF/launch機能を使用しようとしている。

  現行の脆弱性を使っていないため、このスパムのタイミングは少々奇妙だが、おそらく、この特定の方法を使用しているギャングたちは、Adobe Readerをアップデートする大きな動きが、まもなくやってくることを知っているのだろう。Adobe Readerの現行バージョンは、Trust Manager機能を含んでおり、このギャングたちにとっての絶好の機会は、すぐに制限されることになるだろう。

  エフセキュアは「インターネット セキュリティ 2010」で既に、この脅威を「Exploit.PDF-Dropper.Gen」として検出している。

  このPDFのMD5は「cff871a36828866de1f42574be016bb8」だ。動作すると、このエクスプロイトはalureon/dnschanger trojanをドロップする。

  我々のテレメトリーによれば、数千のカスタマが既に同エクスプロイトにさらされている。ペイロード上ではノーヒットであり、我々のジェネリックな検出が、この脅威をブロックしていることが分かっている。

  添付ファイル/ペイロード用のHydra検出は、バージョン2010-06-08_03のデータベースで公開された。

追記:以下は同PDF添付ファイルのスクリーンショットだ。このPDFは、インターネットから取り出されたresume/CVをベースとしており、/launchプロンプトはかなり派手だ。

Pidief.CPY