金山毒霸云安全系统近日截获一款借PDF文档传播的后门木马，该毒隐藏在一封英文邮件的PDF文件中，目标直指国内金融、经济界的业内人士，极有可能是一款商业木马。在这封由英文撰写的毒邮件中，发信人称自己是现居北京的《金融时报》编辑“帕姆”，他要求收件人阅读附件PDF文档中的名单，协助他完成一个所谓的研究课题 访谈。这个研究课题看上去非常权威专业，因为邮件中说它涉及到工资、利润、通货膨胀、利率、资产价格、资本流动和汇率等一系列复杂的问题，并且还要对中 国、印度等新兴经济体进行研究。我们猜想，部分收件人甚至会为自己能收到如此“珍贵”的邮件而激动。

　　但如果你阅读了这个PDF附件，那么很糟糕，你会立即掉进黑客的陷阱，因为文档中包含一个后门木马文件，它会将你的电脑与黑客远程服务器连接起来，等候黑客指令。

　　金山毒霸反病毒工程师分析PDF文档后发现，这份PDF文档经过精心构造，嵌入了一个能利用Adobe Reader安全漏洞进行远程攻击的木马。该毒会在WINDOWSsystem32目录下释放出一个wuausrv.dll文件，并修改注册表实现自 启动，于下一次开机后连接到多个远程服务器，静默等候黑客的控制指令。

　　而被利用的漏洞是由于Adobe Acrobat和Reader无法正确地处理PDF文档中所包含的恶意JavaScript所引起的。Adobe Acrobat和Reader的内部函数在处理一个特制的文件名参数时就会发生溢出事件，导致木马可以绕过系统安全模块运行。不过经测试它无法绕过金山网 盾的拦截，金山毒霸对该毒的命名为Win32.Troj.PdfDropper.eq和Win32.Troj.PdfDropper.ty。

　　早在今年4月份时，这一漏洞就已经被安全业内人士发现并发出了警告，但由于Adobe Reader等PDF阅读器的升级机制问题，总还是会有不少用户电脑中依然存在这一漏洞。黑客很可能是掌握了这一规律，才精心制作了这封毒邮件。

　　由于这封毒邮件的内容直接与经济、金融问题相关，再结合金融危机以来国内外曝出的一系列商业间谍案，我们猜测此毒很可能是一款商业木马。操纵该毒的黑客组织 的目标，就是国内金融或经济界的业内人士，黑客对受害人的挑选要求是首先能看懂专业名词较多的英文，其次得对经济学方面的事情干兴趣，同时还乐意同专业的 经济媒体打交道，只有这样，受害人愿意去阅读附件的可能性才会高——显然，只有精英人群满足这些条件。

　　而一旦在这些人员的电脑上种植了后门程序，黑客便有机会掌握大量的商业敏感信息，从而靠贩卖商业情报谋取暴利。