c# open pdf adobe reader : Delete page from pdf file online application control utility azure html winforms visual studio the_rise_of_pdf_malware1-part1358

The Rise of PDF Malware
Page 11
Security Response
Malicious JavaScript split into many variables
Figure 17 shows an example of malicious JavaScript that was broken into multiple small chunks of data and then 
concatenated together.
Once decoded and prettified, it becomes clear that the code in figure 18 performs heap spray and uses the util.
printf vulnerability for exploitation. 
RC4 in JavaScript
The code in figure 19 shows RC4 encryption implemented as a JavaScript function that was used to encrypt a 
malicious JavaScript inside the PDF.
Figure 20 shows the call to RC4 function with the encoded key and data stream.
When data is decrypted, a plain malicious JavaScript is unearthed showing that it was exploiting two vulnerabili-
ties.
Figure 17
JavaScript broken into smaller pieces of data
Figure 18
Exploiting the util.prinf vulnerability
Delete page from pdf file online - remove PDF pages in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Provides Users with Mature Document Manipulating Function for Deleting PDF Pages
cut pages from pdf; delete pages from a pdf reader
Delete page from pdf file online - VB.NET PDF Page Delete Library: remove PDF pages in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Visual Basic Sample Codes to Delete PDF Document Page in .NET
delete page pdf online; delete blank pages from pdf file
The Rise of PDF Malware
Page 12
Security Response
Conditional expressions
Figure 21 shows use of conditional expressions all over the JavaScript in order to evade and confuse JavaScript 
emulators. Such tricks were not new in malicious JavaScript used on the Internet. There is an increasing trend 
towards bringing JavaScript packers and obfuscators used on the Internet into PDFs (e.g. Dean Edward’s 
JavaScript packer).
Use of “/Names” array to split JavaScript
Figure 22 shows how JavaScript is split into multiple streams and then combined. Catalog object “ 1 0 obj” refers 
to object “8 0 obj” which defines Names array with two element objects “7 0 obj” and “17 0 obj”.
Objects “7 0 obj” and “17 0 obj” contain JavaScript that refers to a “Producer” object stream “14 0 obj”. Figure 
23 shows the decoded streams and how the malicious data kept in the producer stream is referenced and de-
coded.
Figure 20
Calling the RC4 function
Figure 19
RC4 encryption implemented as a JavaScript function
C# PDF File & Page Process Library SDK for C#.net, ASP.NET, MVC
Provides you with examples for adding an (empty) page to a PDF and adding empty pages You may feel free to define some continuous PDF pages and delete.
delete pages in pdf online; delete pages from pdf preview
C# PDF Page Insert Library: insert pages into PDF file in C#.net
to rotate PDF document page, how to delete PDF page using C# capable of adding and inserting (empty) PDF page or pages from various file formats, such as
delete page in pdf; delete pages from a pdf document
The Rise of PDF Malware
Page 13
Security Response
Multi Level compression and encoding in streams
The PDF file format supports compression and encoding of data, and it also gives flexibility to cascade multiple 
filters thus enabling one to do a multi-level compression and encoding of data.
Unless antivirus software supports all compression and encoding types supported by Adobe, it won’t be able to 
decompress or decode and scan for malicious code.
Figure 24 shows one such sample where the attacker has used 9 types of encoding.
Figure 21
Use of conditional expressions
Figure 22
JavaScript split and then combined
VB.NET PDF File & Page Process Library SDK for vb.net, ASP.NET
in your PDF document is unnecessary, you may want to delete this page PDF Page and File Splitting. If you want to split PDF file into two or small files, you
delete page from pdf file online; copy pages from pdf to new pdf
C# PDF File Split Library: Split, seperate PDF into multiple files
with other PDF files to form a new PDF file. Using this C#.NET PDF document splitting library can easily and accurately disassemble multi-page PDF document into
delete pages from pdf document; best pdf editor delete pages
The Rise of PDF Malware
Page 14
Security Response
Use of standard encryption from Adobe
Adobe supports protection of PDF documents with encryption; RC4 and AES are used as standard encryption 
algorithms. Malware authors use this feature to protect malicious content from being scanned by antivirus en-
gines. Figure 25 shows a malicious PDF using AES encryption supported by Adobe.
Decrypting AES reveals a malicious JavaScript trying to exploit various vulnerabilities. Figure 26 shows the de-
crypted JavaScript.
The obfuscation methods shown in figure 26 are just a small sampling of the huge amount of techniques 
used to attempt to bypass security products. When these techniques are used in conjunction with different ex-
ploits the PDF threat landscape becomes muddied with a huge variety of different types of PDFs. Add in the dif-
ferent distribution techniques and the threat landscape becomes extremely diverse. In addition malware authors 
are currently very active in creating new obfuscation techniques leading to a quickly changing landscape. 
Figure 23
Decoded streams referenced
Figure 24
Multiple encoded stream
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
Ability to create a blank PDF page with related by using following online VB.NET we suggest you go to C# Imaging - how to insert a new empty page to PDF file
delete pages pdf document; delete pages from a pdf in preview
VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
Since images are usually or large size, images size reducing can help to reduce PDF file size effectively. Delete unimportant contents Embedded page thumbnails.
delete pages in pdf online; delete a page from a pdf online
The Rise of PDF Malware
Page 15
Security Response
Figure 25
AES encryption
Figure 26
Decrypted JavaScript
C# HTML5 PDF Viewer SDK to view PDF document online in C#.NET
File: Merge PDF; C# File: Split PDF; C# Page: Insert PDF pages; C# Page: Delete PDF pages; C# Read: PDF Text Extract; C# Read: PDF
delete page pdf file reader; delete pdf page acrobat
VB.NET PDF File Split Library: Split, seperate PDF into multiple
PDF document file to one-page PDF files or they can separate source PDF file to smaller PDF documents by every given number of pages. This online VB tutorial
add and delete pages from pdf; delete blank pages in pdf
The Rise of PDF Malware
Page 16
Security Response
Timeline of different types of attacks
Figure 27 illustrates what Symantec has seen over the past few years with regards to different attack vectors.  
Looking at the beginning, it was a pure landscape and only two exploits were used for a year.  Now, things are 
much more chaotic with several different exploits in use, distribution methods, and hiding from antivirus pro-
grams.  
In the last quarter of 2007, only the Mailto() vulnerability was being exploited. Then more vulnerabilities were 
found and the CollectEmailInfo() bug was exploited. In fact, this vulnerability is still being used today. Although 
less than 5% of malicious PDFs used the CollectEmailInfo() vulnerability in February 2010, the graph indicates 
that this vector is nevertheless currently exploited by attackers. Despite the fact that both CollectEmailInfo() 
and Util.Printf() were found to be vulnerable years ago, these functions can still be found in successful exploit 
attempts. Otherwise, those (and other vectors) would have disappeared as in the case with Mailto().  
The attacker has several vectors to choose from. In some cases, an attacker may want to increase the chances 
of infecting an unsuspecting user by creating a malicious PDF file with several different vectors inside it. Conse-
quently, the attacker has a backup method of infection (or several) in case the first exploit does not work. These 
are categorized as blended attacks. Furthermore, some exploit packs in the underground create malicious PDF 
files with obfuscated JavaScript and package them in their own way. Some of Symantec’s automated routines 
will detect these types of attacks and are shown on the graph as heuristics (packers). Many of the other catego-
ries labeled above have CVE information associated with them.  These can be found in the appendix.
Percentage-wise, packers dominated December 2009. At the same time, many of these packers were also associ-
ated with blended attacks as well as exploit packs. Some exploit packs that were used on a malicious Web page 
Figure 27
Percentage of PDF attack vectors over time
The Rise of PDF Malware
Page 17
Security Response
would first detect the type and version of PDF software running on the user’s computer. This way, the appropri-
ate attack vector could be served instead of a packed blended attack.  
Near the end of July 2009, CVE-2009-1862 was released. This deals with Adobe Flash and a small percentage 
of attacks were seen to be using this vector in August. It took some time to adapt, but as indicated by the green 
line in the last three months of the graph, Flash unmistakably became the favored method of attack. One obvi-
ous reason this may have happened is that this attack vector does not require any JavaScript to be used. Like 
JavaScript, Flash technology is also available across almost all browsers. Aside from Foxit’s Open/Execute buffer 
overflow vulnerability, every other exploit utilizes JavaScript.  
Top 10 countries
Now that attack vectors have been considered, another aspect Symantec looked at was country information.  
Specifically, where PDF attacks were being directed. Table 1 looks at this data.
In the span of a year, the United States was 
the favored country to attack via malicious 
PDF files. During that same time span, the 
United Kingdom, along with almost every 
other country on the list experienced a per-
cent increase in PDF attacks as compared with 
the rest of the world.  In fact, Germany went 
from 10th to 3rd. In the data Symantec has 
collected, the United States consistently tops 
the list every month. 
According to figure 28, over 45% of unique 
PDF attacks in the United States consisted of 
using Flash at the beginning of this year. This 
is followed by the old vulnerability Collect-
EmailInfo() (CVE released in 2008).  
Table 1
Top 10 countries where PDF attacks occur
Percentage
Jan. ‘09
Percentage
Jan. ‘10
62
United States
59
United States
5
Russian Federation
6
United Kingdom
5
United Kingdom
3
Canada
3
India
3
Germany
3
Canada
3
China
1
Australia
2
Spain
1
Italy
2
Japan
1
Turkey
2
Italy
1
Ukraine
2
Australia
1
Germany
1
India
Figure 28
Percentage of Attack Vectors for the USA Jan. 2010
The Rise of PDF Malware
Page 18
Security Response
What can you do to protect yourself?
To avoid being infected, a user can consider the following actions:  
Disable JavaScript support where possible. Users should note that disabling JavaScript may not be a good 
• 
option for users relying on workflows that require this functionality. Users can choose to disable JavaScript 
support in their PDF reader that effectively prevents a large number of exploits from working.  
Note: Disabling JavaScript alone will not prevent all the exploits from running as there are a few non-
JavaScript based exploits as well.  
Keep up-to-date with all software patches for your installed PDF reader software.  
• 
Note: There is a lag time between the discovery of a  vulnerability and a patch from the vendor being available. 
Attackers often take advantage of this gap and try to exploit an unpatched vulnerability. However, keeping 
your PDF software patched and updated significantly reduces the risk and exposure. 
Keep antivirus and IPS definitions up-to-date. 
• 
Always exercise discretion in opening a PDF document from an untrusted source.
• 
Symantec’s naming convention
The number and variety of malicious PDFs in the wild at present with regards 
to different exploited CVEs have accordingly led to a complex threat naming 
convention. Symantec currently has 9 specific variants of detections for mali-
cious PDF files. We use the name Trojan.Pidief to detect specific exploits in 
malicious PDF files. 
At Symantec, we believe a layered approach to security is the best way to keep 
oneself protected.  After patching and downloading the latest updates and 
versions, having a good anti-virus product installed on the machine may be 
able to catch the remaining threats. We have several names to detect specific 
attacks to make it easier to categorize the type of attack.
Due to the sheer number of PDF threats we see, we also use several generic 
detection routines named Bloodhound.Exploit and Bloodhound.PDF to detect 
general malicious properties and exploit characteristics within PDFs to protect 
our customers.
Conclusion
Regardless of which methods are chosen to stay protected, the threat landscape will continue to grow and 
change.  PDF attacks are on the rise worldwide and show no indication of slowing down. Modern exploit packs 
have made it relatively simple to create an effective PDF attack. The popularity of these exploit packs along with 
the success that attackers have been enjoying using PDFs has lead to an explosion in the use of malicious PDFs 
as an attack vector. In addition to Web based attacks, spam campaigns using malicious PDFs have proven to be 
successful attack vectors for malware authors also, leading to a large amount of spam containing malicious PDFs 
of all types. The malware authors are working hard to evade detection and are constantly inventing new obfusca-
tion techniques in an effort to stay undetected. 
Due to the fast changing threat landscape it is essential to use updated security products and to use  a multi-
layered approach to protection to ensure users stay protected.
Table 2
Naming convention
Name
Category
Trojan.Pidief
Blended attacks
Trojan.Pidief.A
Mailto
Trojan.Pidief.B
Mailto
Trojan.Pidief.C
CollectEmailInfo
Trojan.Pidief.D
Util.Printf
Trojan.Pidief.E
JBIG2 Image
Trojan.Pidief.F
GetIcon
Trojan.Pidief.G
Flash
Trojan.Pidief.H
Newplayer
Trojan.Pidief.I
TIFF Image
The Rise of PDF Malware
Page 19
Security Response
Appendix 
Common Vulnerabilities and Exposures (CVE) Information
Sept 21, 2007 - CVE-2007-5020 - Mailto() vulnerability
• 
Nov 4, 2008 - CVE-2008-2992 - Associated with util.printf() vulnerability
• 
Feb 7, 2008 - CVE-2008-0655 - Associated with CollectEmailInfo() vulnerability
• 
Feb 11, 2008 - CVE-2008-0667 - Associated with CollectEmailInfo() vulnerability
• 
Feb 12, 2008 - CVE-2007-5659, CVE-2007-5663, CVE-2007-5666, CVE-2008-0726 - Associated with Collect-
• 
EmailInfo() vulnerability
May 8, 2008 - CVE-2008-2042 - Associated with CollectEmailInfo() vulnerability
• 
Nov 4, 2008 - CVE-2008-2992 - Associated with util.printf() vulnerability
• 
Feb 20, 2009 - CVE-2009-0658 - JBIG2 image vulnerability
• 
Mar 10, 2009 - CVE-2009-0837 – Open/Execute Buffer overflow for Foxit Reader
• 
Mar 19, 2009 - CVE-2009-0927 - GetIcon() vulnerability
• 
Apr 30, 2009 - CVE-2009-1492 - GetAnnots() vulnerability
• 
Apr 30, 2009 - CVE-2009-1493 - CustomDictionaryOpen() vulnerability
• 
Jul 23, 2009 - CVE-2009-1862 - Adobe Flash vulnerability
• 
Oct 19, 2009 - CVE-2009-3459 - Heap-based vulnerability (“Compression Library” not used)
• 
Oct 19, 2009 - CVE-2009-2994 – U3D CLODMeshDeclaration
• 
Dec 15, 2009 - CVE-2009-4324 – Newplayer  (assoc w/Pidief.H)
• 
Feb 22, 2010 - CVE-2010-0188 - TIFF Image already mentioned as TIFF by other online entities
• 
Jun 04, 2010 – CVE-2010-1297 – Adobe Flash VM parsing vulnerability
• 
Table 3
Symantec detection name and related CVE information
Name
Category
CVE
CVE release date Patch/Update
Trojan.Pidief
Blended attacks
n/a
n/a
n/a
Trojan.Pidief.A
Mailto
CVE-2007-5020
21 Sept., ‘07
16 Nov., ‘07
Trojan.Pidief.B
Mailto
CVE-2007-5020
21 Sept., ‘07
16 Nov., ‘07
Trojan.Pidief.C
CollectEmailInfo
CVE-2008-0655, 
CVE-2008,0667, 
CVE-2007-5659, 
CVE-2007-5653, 
CVE-2007-5666, 
CVE-2008-0726, 
CVE 2008-2042
7 Feb., ‘08
6 May, ‘08
Trojan.Pidief.D
Util.Printf
CVE-2008-2992
4 Nov., ‘08
4 Nov., ‘08
Trojan.Pidief.E
JBIG2 Image
CVE-2009-0658
20 Feb., ‘09
18 Mar., ‘09
Trojan.Pidief.F
GetIcon
CVE-2009-0927
19 Mar., ‘09
9 Apr., ‘09
Trojan.Pidief.G
Flash
CVE-2009-1862
23 Jul., ‘09
3 Aug., ‘09
Trojan.Pidief.H
Newplayer
CVE-2009-4324
15 Dec., ‘09
12 Jan., ‘10
Trojan.Pidief.I
TIFF Image
CVE-2010-0188
22 Feb., ‘10
16 Feb., ’10
The Rise of PDF Malware
Page 20
Security Response
References 
1.  PDF documents are not limited to, and can be opened in applications other than, Adobe Acrobat and Adobe 
Reader. 
Coogan, Peter. Fragus Exploit Kit Changes the Business Model. Blog, 4 Nov., 2009. http://www.symantec.com/
2. 
connect/blogs/fragus-exploit-kit-changes-business-model
Thanks to Mila Parkour of contagiodump.blogspot.com for supplying this image. For more such social en-
3. 
gineered email examples, please refer to top_ten-targetted_attack_mails, http://contagiodump.blogspot.
com/2010/03/design-contest-top-ten-targeted-attack.html
Documents you may be interested
Documents you may be interested