Det gäller verktyget Y08-40, även känt som GenMDB. Det kan användas för att skapa PDF-dokument som innehåller dold, skadlig kod.

Verktyget har ett enkelt gränssnitt där användaren väljer vilket program hän vill dölja, vilken PDF-fil hän vill dölja det i och vilken plattform den tilltänkta mottagaren använder. Sen bakar programmet GenMDB ihop det till en trojaniserad PDF-fil som ska fungera på utvald plattform.

I söndags beskrev F-Secure hur ett sådant trojaniserat PDF-dokument beter sig. När det öppnas skapar det två andra filer i Windows Temp-katalog. Den ena är en PDF-fil, den andra är en bakdörr som skapar ett flertal skadliga filer.

Igår beskrev F-Secure i detalj hur verktyget som skapat den trojaniserade PDF-filen, GenMDB, fungerar. Detta efter att verktyget dykt upp hos F-Secure.

F-Secures teknikchef Mikko Hyppönen gissar att det gått till ungefär så här:

Någon skulle använda verktyget för första gången. För att testa valde användaren en slumpmässig PDF-fil och en slumpmässig .exe-fil, tydligen föll valet på verktygets egen .exe-fil.

Sen ville de tilltänkte trojan-spridaren testa om skapelsen skulle upptäckas av en av de online-tjänster som finns för att upptäcka skadlig kod. Så hän skickade in den kombinerade filen som ett prov.

F-Secure packade upp filen och häpnande.

Sen bloggade Hyppönen och tackade hackaren för vänligheten.

Källa: F-Secures blogg
http://www.f-secure.com/weblog/archives/archive-062008.html#00001450