Adobe Acrobat мешает антивирусам сканировать PDF-файлы

Екатерина Быстрова 22 Июня 2022 - 09:26

Домашние пользователи

Корпорации

Windows

Adobe

Ошибки конфигурации программ

...

Adobe Acrobat мешает антивирусам сканировать PDF-файлы

Adobe Acrobat может мешать работе антивирусных программ, в частности — блокировать сканирование открываемых PDF-файлов. Такое поведение создаёт риски для безопасности пользователя, поскольку киберпреступники часто используют документы именно этого формата.

При открытии файла PDF Adobe Acrobat проверяет наличие компонентов 30 различных антивирусов, загруженных в его процесс. При обнаружении такого компонента софт пытается запретить ему сканирование.

Само собой, для корректной работы любого антивируса ему в первую очередь необходим доступ ко всем процессам в системе. Как правило, разработчики добиваются этого с помощью внедрения DLL в запущенный на компьютере софт.

Ранее PDF-файлы не раз фигурировали в кибератаках, когда злоумышленники задействовали их для запуска вредоносной программы. Можно вспомнить хотя бы кейлогер Snake, который использовал документы в формате PDF, в которые был вшит DOCX.

Исследователи из Minerva Labs также привели пример подобного вектора: в секцию “OpenAction“ документа добавляется команда, запускающая PowerShell.

«С марта 2022 года мы наблюдали странное поведение софта Adobe Acrobat Reader, который пытался проверить, компоненты каких антивирусных программ загружены в его процесс», — пишут специалисты.

Приложение интересовалось продуктами от Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, «Лаборатории Касперского», F-Secure, Sophos и Emsisoft. Проверка компонентов происходит при помощи библиотеки libcef.dll, относящейся к Chromium Embedded Framework (CEF).

Как отметили исследователи, libcef.dll загружается двумя процессами: AcroCEF.exe и RdrCEF.exe. Дальше идёт проверка значения bBlockDllInjection в ключе реестра SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ — софт убеждается, что оно установлено на «1».

Если значение совпадает, Adobe Reader будет блокировать инъекцию DLL антивирусов в свой процесс.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 17 Ноября 2025 - 20:18

Малый и средний бизнес Системы мониторинга событий безопасности Поиск и обнаружение атак (Threat Intelligence) Security Vision

Security Vision представила обновлённую TIP с новым движком аналитики

Компания Security Vision объявила о выходе новой версии своего продукта для анализа киберугроз и киберразведки (TIP). Платформа работает в составе Security Vision v5 и предназначена для работы со всеми уровнями данных Threat Intelligence — от технических индикаторов до стратегических бюллетеней.

Система позволяет собирать события из разных источников — SIEM, NGFW, прокси, почтовых серверов, data lakes — и автоматически загружает индикаторы компрометации всех типов.

TIP поддерживает интеграцию с десятками коммерческих и открытых фидов, а также обогащает данные через внешние сервисы вроде VirusTotal, Shodan и MITRE ATT&CK.

Что нового появилось в версии?

Улучшенный движок second match

В новой версии серьёзно переработан механизм второй проверки индикаторов. Он сопоставляет события с данными из внешних систем (например, SIEM, VM и IDS) и внутренних источников. Это помогает точнее определять контекст инцидента и сокращает число ложных срабатываний.

Встроенный пакет российских TI-фидов

Платформа получила собственный набор фидов Security Vision — около 50 тысяч IoC с ежедневным обновлением. Пакет доступен бесплатно и включает данные от ФСТЭК, НКЦКИ, ФинЦЕРТ и другие источники, фокусирующиеся на угрозах в российском сегменте. Это позволяет переходить от реактивного анализа к проактивному обнаружению атак.

Поддержка новых источников угроз

TIP научилась работать с более чем десятью новыми фидами, что расширяет возможности анализа и обмена данными.

Расширенная работа с бюллетенями

В продукте развивается модуль для обработки бюллетеней о новых угрозах. Он помогает отслеживать тенденции, оценивать методы злоумышленников по MITRE ATT&CK и планировать стратегию защиты. Машинное обучение автоматически связывает бюллетени с конкретными индикаторами, позволяя просматривать их прямо из карточки инцидента.

Оптимизация для больших данных

Обновлённый аналитический движок match теперь рассчитан на нагрузку свыше 100 000 событий в секунду. Добавлена возможность агентского сбора данных с отдельных высоконагруженных серверов, что ускоряет обработку событий.

Adobe Acrobat мешает антивирусам сканировать PDF-файлы

Читайте также