На моем Mac появился PDF-файл, и Preview попытался просмотреть его: был ли я заражен?


0

Сегодня в моей электронной почте появилось вредоносное ПО: пустое письмо с вложением в формате PDF. Я попытался сохранить файл PDF, чтобы загрузить его на virustotal.com и проанализировать ... но проблема в том, что я на Mac (OS X 10.11):

  1. Когда я открывал электронное письмо, программа Mail пыталась показать предварительный просмотр файла.
  2. Когда я выбрал PDF, используя диалоговое окно выбора файла, чтобы загрузить его, Preview попытался загрузить его и показать предварительный просмотр.

По словам Вирустотала, рассматриваемый PDF-файл действительно был вредоносным ПО. Это здесь:

https://www.virustotal.com/es/file/d9b28ac083698cc529653e0108a37f2343dfc6e61e51373ff0c2c88d158cdbe5/analysis/

Итак, согласно имеющейся информации, я был заражен только попыткой Preview показать мне файл? Даже на самом деле не «открывая» это?

РЕДАКТИРОВАТЬ: чтобы быть ясным, я «открыл» файл с помощью предварительного просмотра. Но страница Virustotal, похоже, предполагает, что это троян MS Office, и, тем не менее, на ее вкладке «Подробности» написано, что она использует встроенный код Javascript, а не макросы Office. Итак, я мог заразиться, просто открыв его с помощью предварительного просмотра? Может ли кто-нибудь, кто сталкивался с этим вирусом, поделиться информацией о его поведении?


Ну, вы действительно открыли это. Как вы думаете, предварительный просмотр создается без чтения файла?
DavidPostill

Да, я так думаю :-). Но мой вопрос: некоторые из информации в Virustotal, похоже, говорят, что это вредоносное ПО предназначено для MS Office, но другие данные говорят, что оно выполняет JS. Итак, если я «открыл» только с помощью Apple Preview, а не с Office, работает ли вредоносная программа? Кто-нибудь еще нашел этот фрагмент вредоносного ПО и узнал что-то еще о его поведении?
PaulJ

Этот вирус - вирус Windows или вирус MacOS? Если это MacOS, то возможно, и вы должны предположить, что ваша система была заражена
Ramhound

На странице Virustotal есть информация. Он обнаружен несколькими AV как «Vba.Gen! C», «Trojan [Downloader] /MSWord.Agent.bgy» и т. Д. Самым близким, что мне удалось найти, является AV, который определяет его как «Doc.Dropper». .Dridex-6260340-0 "и эта страница: blog.talosintelligence.com/2017/04/… , где говорится, что это троян Office. (И, тем не менее, полученное письмо было файлом PDF).
PaulJ

4
Похоже, что это был вирус Windows, который будет очень трудно запустить на Mac. Кроме того, когда вы открыли файл в Preview.app, вам повезло, потому что Preview.app слишком туп для выполнения любого JavaScript (и, если бы JavaScript не был Acrobat JavaScript, даже если бы он мог, он не был бы правильно интерпретирован).
Макс Висс
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.