病毒名称：TROJ_PIDIEF.IN

漏洞名称：Adobe Acrobat 和Adobe Reader内存损坏的漏洞：APSB09-01  

2月24日，趋势科技监测到一个新的木马病毒 “TROJ_PIDIEF.IN”。该木马病毒是利用Adobe最新的安全漏洞对外传播的，其表现形式是一个经过精心架构的pdf文件，这个pdf可以用来触发8.x以及9.0版本的Acrobat Reader中存在的漏洞。这个漏洞可以被利用来执行特定的恶意程序代码，包括可以允许控制被影响的系统。

此次Adobe软件出现的漏洞为Adobe Acrobat和Adobe Reader内存损坏的漏洞“APSB09-01”。据Adobe方面消息，到3月11日才会发布修补该漏洞的补丁程序，此前的一段时间将形成防范该木马病毒的空窗期。

趋势科技的研究报告显示，该病毒会下载以下的恶意程序：“BKDR_NETCL.A”、“EXPL_EXECOD.A”、“TROJ_AGENT.ZWQA”，以及“TROJ_FAKEAV.LKQQ”开展进一步的病毒传播。

使用Cleantool的免疫功能：

未开启前打开病毒测试文件virus.pdf:

temp.exe文件被释放并创建其进程：

开启系统免疫->免疫PDF漏洞木马：

再次运行病毒文件，病毒文件行为被免疫，不会释放文件或创建进程：

如果禁用免疫后，temp.exe进程会再次出现。

Temp.exe行为分析：

打印“in try”字符串到输出设备（此处可能会被替换为任意可执行恶意代码）：

函数执行前：

执行后：

遍历进程寻找“Acrobat.exe”：

尝试访问修改原始PDF文件：

By Tony Ye