Если посмотреть на статистику сплоитов за последнее время, то станет очевидным еще один внушительный вектор атак - PDF-файлы с инъектированными сплоитами, которые эксплуатируют многочисленные уязвимости Adobe Reader. Если по несчастному Internet Explorer'у уже прошлись вдоль и поперек, то Adobe Reader оказался непаханым полем для хакеров, при этом продукт имеет огромное распространение. Для эксплуатации критических уязвимостей, как и в сплоитах для браузера, чаще всего используется код на JavaScript, который может быть вставлен в PDF-файлы несколькими способами. Вообще, если в PDF-ке есть вставки на JavaScript, то файл, скорее всего, действительно опасен, но как это определить? Самый очевидный путь - распарсить PDF-файл на блоки и посмотреть, что там внутри, но это сложный процесс. Менее сложный путь выполнить в PDF-ке поиск по нескольким ключевым словам, наличие которых позволяет сделать вывод о вкрапления кода на JavaScript'е. Например, "/JS" или "/JavaScript" явно указывают, что документ содержит JS-код. Другие два ключевых слова "/AA" и "/OpenAction" сигнализируют о том, что в файле прописано автоматическое действие, которое выполняется в момент чтения документа. Именно эту возможность PDF малварь использует для запуска JS-сценария без участия пользователя, поэтому к таким документам стоит отнестись с осторожностью. Выполнить быстрый поиск таких строк позволяет утилита PDFiD, написанная на Python'е. Если результаты поиска явно укажут, что в документе находятся фрагменты на JS, можно попробовать извлечь их с помощью другой утилиты из набора - pdf-parser. В новой версии PDFiD добавлена возможность детектировать сплоиты, использующие опцию "/Launch". Скачать: http://www.sendspace.com/file/ljycie [PDFiD] http://www.sendspace.com/file/uzjnzi [PDF-Parser]