Adob​​eはゼロデイ攻撃がAdobe Readerサンドボックスをバイパスすることを確認します。

Adob​​e Reader 10および11のサンドボックスの不正利用防止機能をバイパスする最近発見された悪用は非常に洗練されており、おそらくサイバー攻撃の重要な操作、ウイルス対策ベンダーのカスペルスキー・ラボのマルウェア分析チームの責任者は、セキュリティ企業のFireEyeの研究者たちが火曜日に発見したと述べ、攻撃が活発に行われていると語った。 Adobeは、この脆弱性がサンドボックス保護メカニズムを備えたAdobe ReaderおよびAcrobatの最新バージョン（10および11を含む）に対して有効であることを確認しました。「Adobeは、これらの脆弱性が、

[詳しい情報：Windows PCからマルウェアを削除する方法]

Adob​​eが動作していますAdobe Reader 11のユーザーは、編集/環境設定/セキュリティ（拡張）メニューの「潜在的に安全でない場所からのファイル」オプションを選択して、保護された表示モードを有効にすることをお勧めします。 Kaspersky Labのマルウェアリサーチおよび分析チームの責任者、Costin Raiu氏によると、インストールするマルウェアは超高レベルであるという。ライオン氏は、攻撃の精巧さから判断して、デュクと同じレベルにある "非常に重要な"操作の一部でなければならないと結論づけたDuquは、2011年10月に発見された、Natanzのイランの原子力発電所でウラン濃縮用遠心分離機を使用した、高度に洗練されたコンピュータワームであるStuxnetに関する発見されたサイバースパイサイトのマルウェアです。 DuquとStuxnetの両方が国家によって作成されたと信じられています。

最新の悪用はPDF文書の形で提供され、Adobe Readerの2つの脆弱性を攻撃します。 1つは任意のコード実行特権を得るために使用され、1つはAdobe Reader 10と11のサンドボックスから逃れるために使用される、とRaiuは述べています。

64ビットバージョンのオペレーティングシステムを含むWindows 7でのエクスプロイトは、Windows ASLR（アドレス空間レイアウトのランダム化）とDEP（データ実行防止）の不正利用防止の仕組みをバイパスします。

実行時に、エクスプロイトは旅行ビザ申請書を含むデコイPDF文書を開きます。このドキュメントの名前は "Visaform Turkey.pdf"です。

悪意のあるソフトウェアは、リモートサーバーに接続して2つの追加コンポーネントをダウンロードするマルウェアダウンローダコンポーネントも削除して実行します。この2つのコンポーネントは、パスワードとシステム構成に関する情報を盗み出し、キーストロークを記録することができると同氏は述べている。

マルウェアとコマンド・アンド・コントロールサーバー間の通信はzlibで圧縮され、AES（Advanced Encryption Standard） RSA公開鍵暗号を使用しています。この種の保護はマルウェアにはほとんど見られません。 「Flame cyberespionageマルウェアでは類似したものがサーバー側で使用されていました。」これは民族国家によって作成されたサイバー攻撃のツールか、民間請負業者が法執行機関に販売するいわゆる合法傍受ツールの1つです。

カスペルスキー・ラボには、この攻撃の目標や世界中での配布に関する情報はまだありません、とライウ氏は述べています。

FireEyeのシニア・ディレクター、セキュリティ担当シニアディレクターZheng Bu氏は攻撃の標的についてコメントしなかった。 FireEyeは、水曜日にマルウェアに関する技術情報を掲載したブログ記事を公開したが、被害者に関する情報は明らかにしなかった。

Bu氏によると、マルウェアは特定の技術を使って仮想マシンで実行されているかどうかを検出し、自動マルウェア分析システムによって検出を回避できるようにしているという。