Специалисты по сетевой безопасности обнаружили новый способ распространения троянцев семейства ZeuS — в виде вложения в pdf-файл, присланный по электронной почте. Вредоносные письма замаскированы под фальшивое уведомление о недоставке почтового отправления от имени британской службы Royal Mail. К письму прилагается «квитанция» — прикрепленный файл в pdf-формате, соответствующим образом поименованный. По свидетельству экспертов, этот файл содержит одноименное исполнимое вложение, которое активируется с помощью функции Launch программ для просмотра pdf-документов.

При этом Adobe Reader выводит на экран диалоговое окно, чтобы пользователь указал место размещения нового объекта. По умолчанию в строке «Имя файла» указывается исходное наименование вложения.

Поскольку в нашем случае и сам pdf-документ, и его вложение названы одинаково, неискушенный пользователь может принять это за попытку сохранения собственно pdf-файла и бездумно нажать на кнопку «Сохранить». В Foxit Reader такие вложения автоматически, без вмешательства пользователя сохраняются в папке «Документы». По завершении экспорта выполняется функция Launch.

Программа отыскивает сохраненный файл в общедоступных папках и пытается его выполнить. При этом Adobe Reader, как и Foxit последней версии, вновь выводит диалоговое окно, на сей раз с предупреждением о возможных последствиях:

Foxit более ранних версий активируют файл, не запрашивая выбор пользователя. Тем не менее, даже новейшие версии Foxit и Adobe Reader не способны уберечь пользователя от заражения. Пока разработчики решают, как прикрыть одиозную лазейку для злоумышленников, можно повысить защиту, отключив javascript и запретив программе открывать не-pdf файлы во внешних приложениях (в установках Adobe Reader вкладка Диспетчер доверия).