Security Response
Karthik Selvaraj and Nino Fred Gutierrez
The Rise of PDF Malware
Contents
Introduction .......................................................1
Microsoft Office vs. PDF ....................................1
Current threat landscape for PDF exploits .......3
Distribution techniques .....................................3
Exploit details ....................................................6
Evasion techniques ............................................8
Timeline of different types of attacks .............14
Top 10 countries ..............................................15
What can you do to protect yourself? .............16
Symantec’s naming convention ........................17
Conclusion.........................................................17
Appendix  .........................................................18
References .......................................................19
Introduction
The PDF file format has become a popular file format since its re-
lease as an open standard. Its portable nature, extensive feature 
list, and availability of free tools to read and author them have 
made it a de facto standard for printable documents on the Web. As 
it gained more popularity among general users, malware authors 
recognized  the  opportunity  to  use  PDFs for malicious purposes. 
As with Microsoft Office documents in the past, the PDF file for-
mat has become a target for malware authors and is currently be-
ing widely exploited as a means to deposit malware onto  computers. 
In this paper we discuss the current PDF threat landscape, current vulner-
abilities being exploited in PDF documents, methods employed by mal-
ware authors, trends seen in malicious PDF usage, outline Symantec’s de-
tection names and their meaning, and discuss various techniques that are 
being used by malware authors to make detection more difficult. We will 
also outline some preventative measures users can take to avoid infection.
Microsoft Office vs. PDF
To demonstrate the huge popularity of PDFs within the malware cre-
ation community we can compare the PDF file format to the MS Of-
fice file formats. The MS Office document format is extensively used 
by people and targeted by attackers. What we show below is that 
there is a similar number of vulnerabilities in both PDFs and Office 
documents but the number of PDF vulnerabilities exploited in the the 
wild dwarfs the number of office document vulnerabilities exploited.
Delete pages from pdf file online - remove PDF pages in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Provides Users with Mature Document Manipulating Function for Deleting PDF Pages
delete pages from pdf online; delete pages of pdf
Delete pages from pdf file online - VB.NET PDF Page Delete Library: remove PDF pages in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Visual Basic Sample Codes to Delete PDF Document Page in .NET
delete page on pdf document; delete pages from pdf reader
The Rise of PDF Malware
Page 2
Security Response
Figure 1 is a breakdown of the num-
ber of common vulnerabilities and 
exposures (CVE) of both Microsoft 
Office and the PDF file format. It in-
dicates that MS Office CVEs average 
around 8.8 CVEs per quarter with a 
slight rate of increase. However, PDF-
related CVEs come to about 6.8 CVEs 
per quarter with a markedly high rate 
of increase.  
This would equate to about 30% 
more MS Office CVEs per quarter on 
average. From this, one can surmise 
that MS Office should be exploited 
about 30% more than PDF
1
. In prac-
tice, however, detected exploitation 
is vastly different and more closely 
follows the increasing PDF trend line. 
This can be seen in figure 2.  
The MS Office and PDF data dis-
played in figure 2 measures detected 
non-unique attacks. A non-unique 
attack is one where Symantec secu-
rity products detected a malicious 
PDF, even if the same PDF had been 
detected on another user’s computer 
also. If the same malicious PDF file 
was used in one hundred attacks, we 
counted 100 attacks instead of one 
unique attack. In this manner, we can 
get a more accurate picture of what 
is currently happening in the wild. 
Despite the fact that the number 
of PDF CVEs are close to Microsoft 
Office’s numbers, the amount of non-
unique PDF attacks Symantec has 
seen have increased dramatically, 
which shows that the PDF file format 
is being targeted  more often within the last two years. The spikes on these graphs coincide with the release of 
specific PDF-related CVEs. For a listing of the particular dates and associated CVEs, please see the appendix.
Prior to Oct 2007, PDF attacks were non-existent. Then in the end of September, CVE-2007-5020 was released 
documenting a vulnerability in Adobe’s PDF software. Figure 2 shows that attackers quickly took advantage of 
this.
In January 2007, 100% of the attacks exploited Microsoft Office. In January 2010, Microsoft Office-based at-
tacks amounted to less than 5%. Beginning in August of 2008, the number of PDF attacks dwarfed those of MS 
Office by such a huge amount that graphing them would have made the graph meaningless. Over the past three 
years, one can clearly see that a bias has shifted more towards exploiting the PDF file format rather than the 
Microsoft Office Suite.  
This can be attributed to several factors including (but not limited to) a greater acceptance of the PDF file format 
by the public as well as the fact that the PDF file format is considerably  easier for malware authors to under-
stand and exploit. In comparison, the OLE format MS Office uses is much more complex.  PDF files are also very 
Figure 1
Number of CVEs released over time
Figure 2
Number of attacks: Microsoft Office vs. PDF
C# PDF File & Page Process Library SDK for C#.net, ASP.NET, MVC
empty) page to a PDF and adding empty pages to a PDF from a supported file format, with You may feel free to define some continuous PDF pages and delete.
delete page in pdf online; delete page pdf file reader
C# PDF Page Insert Library: insert pages into PDF file in C#.net
code, how to rotate PDF document page, how to delete PDF page using programmers are capable of adding and inserting (empty) PDF page or pages from various
delete pages from pdf document; delete pages of pdf reader
The Rise of PDF Malware
Page 3
Security Response
extensible and have the ability to use other technologies as well such as JavaScript, Adobe’s own Flash, and dif-
ferent compression and encoding methods.  
Another factor to consider is that attackers incorporated PDFs into popular web exploit packs.  The proliferation 
of these packs across the Internet along with using browser-based attacks to serve malicious PDF files  also ac-
count for the greater number of PDF threats Symantec sees today. Furthermore, PDF files can be read in multiple 
browsers. Web exploit packs will affect all of them since the same adobe plugin will be used in most cases. If 
not, a simple add-on module could be added to the pack in a subsequent update.  The OLE format needs ActiveX, 
which only works in Internet Explorer, thereby effectively limiting its usage. In any case, the Microsoft Office 
Suite has become a much smaller target compared to PDFs.
Current threat landscape for PDF exploits
The amount of malicious PDFs seen in the wild has increased dramatically over the last 3 years. This is due to 
the success that malware authors are attaining via PDF distribution. The threat landscape is not homogenous in 
that there are many different types of PDFs and different ways in which malicious PDFs are used to compromise 
computers. To really understand the PDF threat landscape we need to discuss different methods of distribution 
for these malicious PDFs as well as the different types of PDFs that are being seen in the wild.
Distribution techniques
Attackers use a variety of different channels to deliver malicious PDF files. The threat landscape is dominated by 
three main channels, which are mass-mailing, drive-by downloads, and targeted attacks.
Mass mailed PDFs are spammed out to web users via email and normally use a social engineering technique to 
entice the user to open the attached malicious PDF.  In contrast, drive-by downloads deliver the malicious PDFs 
silently to unsuspecting  users when they visit a malicious or infected website. Targeted PDFs also generally 
arrive via email, but are not spammed out widely to many users.  Instead, they are written specifically for one 
particular person or group of people and often contain personal information in order to appear more legitimate.  
Because of the personal nature of targeted attacks, the chance of opening a malicious PDF greatly increases.
These malicious PDFs can be further enhanced by attackers in three distinct ways.  For one, the PDF files can 
contain one specific exploit, old or new.  The second possibility revolves around the use of several different 
exploits both old and new gathered from years of malware experience in order to infect the user.  Attackers know 
which exploits are the most successful and continually use these.  This will therefore increase the chance of a 
successful attack since the software may be susceptible to one or more of the included attacks. Furthermore, 
the third way of infection revolves around detecting the version of the PDF software installed on a computer. 
Consequently, only the appropriate working exploit will be launched by the malicious PDF. Less exploits, but the 
probability of a successful attack is much higher.  
Mass-mailed PDFs 
We currently see ongoing spam campaigns used to deliver malicious PDFs. The content of the spam campaigns 
changes quiet frequently and often revolves current news stories. The content of these emails plays a major role 
in a successful attack, as a successful attack relies on the victim to open the PDF document with a vulnerable 
reader. All these emails have very convincing content so that the victim will be enticed into opening the malicious 
PDF document. 
Social engineering email content often comes from a recent well-known news event in order to lure unsuspecting 
users into opening the malicious PDF attachment.
Major subject categories include (but are not limited too) the following:
IRS emails – the malicious PDF is purported to be an IRS form
• 
Politics/election themed
• 
Recent incident (natural disaster, war, new product launches, etc)
• 
Controversial subjects 
• 
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
to create a blank PDF page with related by using following online VB.NET may use the following VB.NET demo code to insert multiple pages of a PDF file to a
delete pages from pdf acrobat reader; delete page numbers in pdf
C# PDF File Split Library: Split, seperate PDF into multiple files
splitting PDF file into two or multiple files online. Support to break a large PDF file into smaller files. Separate PDF file into single ones with defined pages
delete pages on pdf file; delete pages pdf files
The Rise of PDF Malware
Page 4
Security Response
Figure 3 shows a malicious email based on a 
recent event, along with the malicious PDF 
attachment.
Another common method used in such emails 
is to use recent Web content or news articles 
from the Web, known as “Web content recy-
cling”, where the malware author finds a very 
recent article on a hot topic and takes the 
content verbatim from the article and even 
impersonates the article author’s name to be 
the email sender’s name (aka spoofing) in the 
malicious email as this makes the email more 
believable. 
Figure 4 shows one such example where an 
article titled “Is There Still a Need for War 
Time Mobilization? China Thinks So,“ was 
published on March 29, 2010. The malware 
author took the content from the article, 
the exact copy of the introduction from the 
article, and used it as the malicious email’s 
content. The adversary also spoofed author’s 
name in the From address of the email and 
sent it on the very next day, that is on March 
30, 2010.
Usually PDF attachments in these emails 
carry a payload along with them, often in the 
form of one or more embedded executables 
within the PDF itself.
When malicious PDFs are opened, they 
exploit the vulnerabilities in PDF readers and 
decode and drop embedded executables. 
On some occasions, a legitimate PDF is also 
dropped and opened so that nothing appears untoward to the user.
PDFs hosted in Web pages
In recent years, drive-by downloads have been gaining in popularity because of web exploit packs.  These packs 
are often used by malware authors to automate the creation and distribution of malware on websites. The follow-
ing screenshot from last year shows stats from a Fragus exploit pack installation. 
The stats
2
in figure 5 show that PDF exploitation was the most successful attack vector when it came to serving 
malicious content on the Web.
As opposed to PDFs sent in mass-mailing campaigns, PDFs hosted on a Web server are usually small and do not 
contain any executable payload within them. Rather, they contain shell code which after successful exploitation, 
downloads its associated threats from the Internet.
Here the victim doesn’t know about the PDF; it is automatically launched through browser plugins and exploita-
tion happens in the background. 
Hosted PDFs also give the malicious author the flexibility to change PDFs on the backend so that the malicious 
PDFs can be easily updated when new and undetected  PDF vulnerabilities are discovered.
Figure 3
Malicious email based on a recent event 
VB.NET PDF File Split Library: Split, seperate PDF into multiple
PDF document file to one-page PDF files or they can separate source PDF file to smaller PDF documents by every given number of pages. This online VB tutorial
delete page pdf acrobat reader; delete pages in pdf
VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
size, images size reducing can help to reduce PDF file size effectively will also take up too much space, glyph file unreferenced can Delete unimportant contents
delete page from pdf online; delete pages out of a pdf file
The Rise of PDF Malware
Page 5
Security Response
Malicious Web pages contain 
obfuscated JavaScript code that 
tries various exploits one after the 
other until the victim’s system is 
compromised. These malicious 
Web pages can also verify the ver-
sion of the Adobe Reader installed 
in the compromised computer and 
can then serve the most appropri-
ate malicious PDF accordingly.
Figure 6 shows one such de-
obfuscated malicious JavaScript 
code.
PDFs hosted in websites such as 
the example shown in figure 6 still 
remain an effective and preferred 
way for mass exploitation as it 
gives greater control to the at-
tacker.
Targeted attacks
Targeted attacks are PDFs that are specifically targeting individuals or an organization and often contain some 
social engineering element in an attempt to make them appear to be from a legitimate source, and thus enticing 
the targeted user into opening the PDF document. These types of attacks are generally less significant number-
wise as compared to other types of attacks in our stats as by their very nature, they only affect one or a very 
small group of people.
For a targeted attack to be successful the attacker performs prior research and planning to gather information 
about a particular individual or an organization and, depending upon the information gathered, the social engi-
neering content is chosen to be used in the attack.
Figure 4
Example of a copied and spoofed email
3
Figure 5
Fragus Web exploit pack stats 
C# HTML5 PDF Viewer SDK to view PDF document online in C#.NET
File: Merge PDF; C# File: Split PDF; C# Page: Insert PDF pages; C# Page: Delete PDF pages; C# Read: PDF Text Extract; C# Read: PDF
add and remove pages from a pdf; delete pdf pages reader
VB.NET PDF File Merge Library: Merge, append PDF files in vb.net
Combine multiple specified PDF pages in into single one file. Append one PDF file to the end of another one in VB library download and VB.NET online source code
delete pages from pdf in preview; delete a page in a pdf file
The Rise of PDF Malware
Page 6
Security Response
In many cases, targeted PDFs use zero-day exploits in order to increase the probability of a successful attack, as 
organizations often patch their systems to protect against known exploits.
Compared to  mass exploitation, targeted attacks are very few in number. Due to the sophistication and stealthy 
nature of targeted attacks, many times the victim never even knows that his system has been compromised. The 
graphs and numbers shown in this paper predominantly cover data from mass exploitation as these types of at-
tack greatly outnumber targeted attack vector data.
Exploit details
Within each distribution channel, many different exploits are used and these change constantly as new exploits 
emerge and older exploits become less effective. In this section we examine the different types of exploits used 
within the PDFs. To make matters more complicated each of these exploit techniques can be partnered with a 
different obfuscation technique. We cover some of the different evasion techniques observed in a later section.
Attackers use many different type of exploits with malicious PDFs, some PDFs contain just one exploit, while oth-
ers group many different exploits together. However, when examining malicious PDFs in the wild we can gener-
ally classify them into two categories: 
JavaScript based 
• 
Non-JavaScript based
• 
JavaScript based exploits
The PDF specification supports JavaScript programming and makes a number of JavaScript functions available 
to programmers in the form of APIs.
Figure 6
De-obfuscated malicious JavaScript code 
The Rise of PDF Malware
Page 7
Security Response
Due to its flexibility and ease of use, JavaScript is widely used in malicious PDFs, and it is used to exploit a vul-
nerable JavaScript API and to setup the PDF reader program’s memory with malicious code (aka heap spray).
Figures 7 and 8 show two examples of the vulnerable JavaScript APIs util.printf() and media.newPlayer(), and the 
JavaScript code that is used to invoke the vulnerable APIs.
In order for these vulnerabilities to achieve code execution heap spray code is run first to setup the PDF reader’s 
process memory with desired shellcode and the vulnerable function is then called to trigger the vulnerability. 
This then transfers control to the 
heap sprayed shellcode. Figure 9 
shows a simple JavaScript Heap 
Spray code along with a vulnerable 
JavaScript function.
Today the majority of  PDF 
exploits utilized by attack-
ers use JavaScript in one 
form or another, and there-
fore disabling JavaScript 
support in PDF readers 
would prevent the majority 
of attacks from succeed-
ing. However, there are a 
few non-JavaScript based 
exploits in use too but they 
are less widespread.
Non-JavaScript based exploits
Although the majority of malicious PDFs observed in the wild use JavaScript, either for the exploit or to set up 
the memory for further exploitation, we have observed other techniques used as well. One alternative to using 
JavaScript is to embed Flash objects in the PDF instead. 
ActionScript in Flash is another way to setup shell code in memory but it is less commonly used. Figure 10 shows 
a Flash stream that is embedded in a malicious PDF document.
Figure 9
Vulnerable JavaScript function
Figure 7
util.printf()
Figure 8
media.newPlayer()
The Rise of PDF Malware
Page 8
Security Response
The string “FWS” marks the beginning of a Flash object. 
Once the Flash file is extracted from the PDF, we find 
that it contains ActionScript virtual machine instructions 
that sets up a heap with shellcode. Figure 12 shows the 
decoded ActionScript VM instructions.
In addition to using Flash objects, attackers have an-
other addition in their non-JavaScript based malicious 
PDF arsenal, namely the TIFF vulnerability, in which the 
attacker can precisely control the execution transfer and 
flow that results in a “heap spray”- less exploitation. Fig-
ure 13 shows a malicious Acroform stream object using 
the TIFF vulnerability.
When the XFA stream (obj 1 in figure 13) is decom-
pressed, a malformed TIFF image with shell code is 
visible and it exploits the TIFF vulnerability so that the 
shellcode runs. In this case, it will download additional 
malware from the Internet.
Evasion techniques
In addition to the different distribution methods, attack-
ers have also incorporated various techniques in order 
to avoid detection by antivirus products. Malicious PDFs 
come in a range of file sizes and encoding methods. 
Some of these PDF files have junk parts as well to throw 
Figure 12
Decoded ActionScript VM instructions 
Figure 10
Embedded Flash stream
Figure 11
Uncompressed TIFF
The Rise of PDF Malware
Page 9
Security Response
off antivirus software. Others will just crash the PDF reader so that the user may think it is a corrupt file while 
in fact it is doing its dirty work silently in the background. Some even contain a legitimate document inside to 
display to the user so that after a successful exploitation, the user would not suspect that their computer has 
been compromised. Furthermore, various parts of a PDF file can be obfuscated, leading to more ways to avoid 
detection.  In the end, attackers have several options to choose from. They can pick and choose from three dis-
tribution methods, a mixture of exploit packaging, and a combination of detection avoidance, which results in an 
extremely wide range of attacks.
Obfuscation is a technique often used by malware as a way to attempt to evade detection by antivirus applica-
tions. Malicious PDF samples are no exception as they too make extensive use of obfuscation techniques in 
an attempt to evade detection. Malware authors are very active in this area and we often observe several new 
obfuscation techniques released every week. 
In fact, due to the nature of the PDF file format specification and implementation, obfuscation of PDFs is much 
easier and requires less skill to implement compared to other file formats, such as MS Word.
Figure 14 shows a very simple obfuscation trick whereby a vulnerable API call string is split into smaller 
strings. At runtime these are concatenated and the vulnerable API is called through eval().
Malware authors used all the traditional obfuscation techniques that were used in regular JavaScript 
code in Web pages within the JavaScript in PDFs as well. As scan engines used by antivirus software ad-
Figure 14
Vulnerable API call string split into smaller strings
Figure 13
Malicious Acroform stream
The Rise of PDF Malware
Page 10
Security Response
vanced to effectively deal with those, malware authors started exploring new methods to obfuscate code from 
being scanned.
Due to the more accepting nature of the PDF file format specification, PDF reader implementations were not 
implemented strictly and even errors (deviations from the specifications) are sometimes ignored and parsed cor-
rectly, allowing more room for malware authors to play around with the format. For example, a PDF document’s 
first bytes need not be its signature “%PDF-“; it can have hundreds of junk characters before it. They need not 
contain an XREF table in the document; if not found, some readers simply build the tree by a linear search of 
objects.
There have been numerous forms of PDF object encodings and JavaScript Obfuscation methods tried in mali-
cious PDFs but since we cannot outline them all, we have listed a few interesting techniques from among them.
Referencing another PDF object data using the ‘getField’ method
Malicious code is split into multiple objects and stored separately, and code is written in such a way that, when 
the document gets loaded, they will be read and combined to form a complete code. 
Figures 15 and 16 show code split into two different Annot objects and later referenced, and its value is obtained 
using the API getField() with the field name as a parameter.
Figure 16
getField()
Figure 15
Encoded Annot ‘getField’
Documents you may be interested
Documents you may be interested