A Pidief.D trójai az Adobe Acrobat és Reader szoftverekben lévő sebezhetőség kihasználásával terjed.
A Pidief.D trójai elsősorban elektronikus levelek révén próbál meg minél több számítógépet megfertőzni. Ezek az e-mailek tartalmazhatnak csatolt fájlokat vagy különféle kártékony weboldalakra mutató hivatkozásokat, illetve átirányításokat. Amint a trójai rákerül egy számítógépre, akkor arra további rosszindulatú alkalmazásokat tölt le előre meghatározott távoli szerverekről. Ezek között további vírusok és kártékony programok is megtalálhatók. A Pidief.D legérdekesebb jellemzője azonban az, hogy az Adobe egyes alkalmazásaiban felfedezett sérülékenység révén próbálja megfertőzni a kiszemelt rendszereket, majd azokon elvégezni a káros tevékenységét.
Az Adobe Acrobat és Reader alkalmazások sebezhetőségéről november elején hullt le a lepel. Azóta a cég kiadta azokat az új verziókat, amelyek már nem tartalmazzák e biztonsági rést. Ezért az Adobe érintett szoftvereinek frissítésével hatékonyan lehet védekezni a trójai ellen.
Amikor a Pidief.D trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Megkísérli kihasználni az Adobe Reader egyik sebezhetőségét.
- Kártékony programokat tölt le az Interneten keresztül. A letöltött állományokat véletlenszerű fájlnévvel menti el.
- A letöltött programokat elindítja.
- A Windows Temp könyvtárába létrehozza a következő állományokat:
%Temp%\xpre.exe
%Temp%\prun.exe
%Temp%\wavvsnet.exe
%Temp%\snapsnet.exe
%Temp%\\\asesnet.exe
%Temp%\searsnet.exe
%Temp%\incasnet.exe
%Temp%\winvsnet.exe