Malicious PDF — malware analysis report

Static analysis result for SHA-256 2df0ebb5b7c6194c…

MALICIOUS

PDF

778.9 KB Created: 2008-02-15 14:41:46 +01:00 Authoring application: AcroForm (via Adobe LiveCycle Designer ES 8.1) First seen: 2026-05-10
MD5: 450aaef674db85c66894e6e5300fe59c SHA-1: f00b35cfef35efa28c016d2511506247e5a7f6be SHA-256: 2df0ebb5b7c6194c7233e05e7bac5d10634d4ba3aeca1fe8fd71ea19da1a5d11
82 Risk Score

Malware Insights

MITRE ATT&CK
T1059.001 PowerShell T1204.002 Malicious File

The PDF file exhibits multiple suspicious characteristics, including embedded JavaScript actions and embedded files. The presence of 'embedded_file_obj0316.bin' is particularly noteworthy due to its size, indicating it could be a significant payload. The heuristics suggest the document is designed to trigger actions, likely to execute embedded content or exploit PDF vulnerabilities. No specific malware family is identifiable from the available data.

Machine Learning

  • Nyx PDF Classifier malicious score 0.8682

Heuristics 8

  • JavaScript action low 1 related finding PDF_JAVASCRIPT
    PDF contains a /JavaScript action. Generic JavaScript is common in benign forms; specific dangerous APIs are scored by separate rules.
  • Embedded JS stream low PDF_JS
    PDF references a /JS stream. Generic JavaScript is common in benign forms; specific dangerous APIs are scored by separate rules.
  • Embedded file low PDF_EMBEDDED
    PDF embeds a file attachment — could carry an executable or another weaponised document as a nested payload
  • XFA form low PDF_XFA
    PDF uses XML Forms Architecture — can contain script logic
  • Optional Content Group with action trigger low PDF_OPTIONAL_CONTENT
    Optional Content Group (layer) co-occurs with an action trigger — content can be selectively hidden from viewers or scanners while the action still fires on open
  • AcroForm button with action trigger low PDF_ACROFORM_BUTTON
    PDF contains a /Btn form field together with a SubmitForm/URI/Launch/JS trigger — this is the building block of fake 'Download' or 'Open' button overlays used in PDF phishing lures
  • Suspicious extracted artifact info EXTRACTED_FILE_STATIC_TRIAGE
    One or more files extracted from inside this sample matched static suspicious-content checks such as script obfuscation, encoded payload blobs, packed data, or execution/download terms.
  • Embedded URL info EMBEDDED_URL
    One or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.
    URL http://www.monotype.comMonotype Referenced by PDF JavaScript
    • http://ocsp.verisign.com0Referenced by PDF JavaScript
    • http://www.w3.org/1999/02/22-rdf-syntax-ns#In PDF document text
    • http://ns.adobe.com/xap/1.0/In PDF document text
    • http://ns.adobe.com/xap/1.0/mm/In PDF document text
    • http://purl.org/dc/elements/1.1/In PDF document text
    • http://ns.adobe.com/pdf/1.3/In PDF document text
    • http://ns.adobe.com/xfa/promoted-desc/In PDF document text
    • http://cgi.adobe.com/special/acrobat/updateReferenced by PDF JavaScript
    • http://www.monotype.com/html/mtname/ms_arial.htmlhttp://www.monotype.com/html/mtname/ms_welcome.htmlhttp://www.monotype.com/html/type/license.htmlReferenced by PDF JavaScript
    • https://www.verisign.com/rpaReferenced by PDF JavaScript
    • http://ocsp.verisign.com/ocsp/status0Referenced by PDF JavaScript
    • https://www.verisign.com/rpa0Referenced by PDF JavaScript
    • http://crl.microsoft.com/pki/crl/products/CodeSignPCA.crl0Referenced by PDF JavaScript
    • http://www.microsoft.com/typographyReferenced by PDF JavaScript
    • http://crl.verisign.com/ThawteTimestampingCA.crl0Referenced by PDF JavaScript
    • http://crl.verisign.com/tss-ca.crl0Referenced by PDF JavaScript
    • https://www.verisign.com/rpa01Referenced by PDF JavaScript
    • http://crl.verisign.com/pca3.crl0Referenced by PDF JavaScript
    • http://CSC3-2004-crl.verisign.com/CSC3-2004.crl0DReferenced by PDF JavaScript
    • http://CSC3-2004-aia.verisign.com/CSC3-2004-aia.cer0Referenced by PDF JavaScript
    • http://www.adobe.com/typehttp://www.adobe.com/type/legal.htmlReferenced by PDF JavaScript
    • http://ns.adobe.com/xdp/Referenced by PDF JavaScript
    • http://www.xfa.org/schema/xci/1.0/Referenced by PDF JavaScript
    • http://www.xfa.org/schema/xfa-template/2.5/Referenced by PDF JavaScript
    • http://www.w3.org/1999/xhtmlReferenced by PDF JavaScript
    • http://www.xfa.org/schema/xfa-data/1.0/Referenced by PDF JavaScript
    • http://www.xfa.org/schema/xfa-locale-set/2.1/Referenced by PDF JavaScript
    • http://www.xfa.org/schema/xfa-form/2.6/Referenced by PDF JavaScript
    • http://ns.adobe.com/xtd/In PDF document text
    • http://ns.adobe.com/xfdf/In PDF document text

Extracted artifacts 16

Files carved from inside the sample during analysis.

FilenameKindSourceSize
embedded_file_obj0314.bin pdf-embedded-file PDF EmbeddedFile object 314 at offset 0xA9CBD 163 bytes
SHA-256: 19024c8d07f4c2c1a4391dce0590c8cf0fb34d2eaad18526732298e18cd4110f
embedded_file_obj0315.bin pdf-embedded-file PDF EmbeddedFile object 315 at offset 0xA9DB0 2075 bytes
SHA-256: d938823b20d536d09b8dbea39028aaa18fe4c615d75bb680fe10e484c69a13d6
embedded_file_obj0316.bin pdf-embedded-file PDF EmbeddedFile object 316 at offset 0xAA14D 1305828 bytes
SHA-256: 737cdfd3440990beddfa6fefb47e20e665ec29cef6afacafe8a52fd7018d07ab
Detection
ClamAV: No threats found
Obfuscation or payload: likely
Carved artifact contains 2 long base64-like blob(s).
embedded_file_obj0317.bin pdf-embedded-file PDF EmbeddedFile object 317 at offset 0xB88FD 2415 bytes
SHA-256: bac3e4de866ac1448036bb843b9b97f7525c1e48b40f0b6335cf6bfcf93c9858
embedded_file_obj0318.bin pdf-embedded-file PDF EmbeddedFile object 318 at offset 0xB8BEF 2072 bytes
SHA-256: 4d19c95fe00e285501fa63e154012381fd6775d911ec23984c32dc759e547de0
embedded_file_obj0319.bin pdf-embedded-file PDF EmbeddedFile object 319 at offset 0xB8DEB 200 bytes
SHA-256: 500856001a9edb17a299f41c8b34871c12c85d56ec8eff03ef181fca24bb96b5
embedded_file_obj0320.bin pdf-embedded-file PDF EmbeddedFile object 320 at offset 0xB8EE1 1808 bytes
SHA-256: fc974b84e884334e8acb0654e6f1a4e32ee4fd311fd1ad4940e84e59891c3875
embedded_file_obj0321.bin pdf-embedded-file PDF EmbeddedFile object 321 at offset 0xB9200 80 bytes
SHA-256: 2ebdd7efeaa1190ff6bad8cbd649b313e3969564018f204e7385b97c2fab1e19
embedded_file_obj0322.bin pdf-embedded-file PDF EmbeddedFile object 322 at offset 0xB92AB 63 bytes
SHA-256: ad801486e3cb7389075fad83415aa12a315eba18ebcc5a81167104cfcb6fd70b
javascript_obj1106_000.js pdf-javascript-stream PDF /JS object 1106 at offset 0x17E8 1374 bytes
SHA-256: 149fb8c0e8d264c3dac7a48a016be5eee40be54e4ebce7d7e0a992551bfba33b
Preview script
First 1,000 lines of the extracted script
if (typeof(xfa_installed) == "undefined" || typeof(xfa_version) == "undefined" || xfa_version < 2.5)
{
   if (app.viewerType == "Reader")
   {
      if (ADBE.Reader_Value_Asked != true)
      {
         if (app.viewerVersion < 8.0)
         {
            if (app.alert(ADBE.Reader_string_Need_New_Version_Msg, 1, 1) == 1)
               this.getURL(ADBE.Reader_Value_New_Version_URL + ADBE.SYSINFO, false);
            ADBE.Reader_Value_Asked = true;
         }
         else if (app.alert(ADBE.Viewer_Form_string_Viewer, 1, 1) == 1)
            app.findComponent({cType:"Plugin", cName:"XFA", cDesc: ADBE.Viewer_string_Update_Desc});
      }
   }
   else
   {
      if (ADBE.Viewer_Value_Asked != true)
      {
         if (app.viewerVersion < 7.0)
            app.response({cQuestion: ADBE.Viewer_string_Need_New_Version_Msg_Old, cDefault: ADBE.Viewer_Value_New_Version_URL + ADBE.SYSINFO, cTitle: ADBE.Viewer_string_Title});
		   else if (app.viewerVersion < 8.0)
         {
            if (app.alert(ADBE.Viewer_Form_string_Viewer, 1, 1) == 1)
               app.launchURL(ADBE.Viewer_Value_New_Version_URL + ADBE.SYSINFO, true);
         }
         else if (app.alert(ADBE.Viewer_Form_string_Viewer, 1, 1) == 1)
            app.findComponent({cType:"Plugin", cName:"XFA", cDesc: ADBE.Viewer_string_Update_Desc});
         ADBE.Viewer_Value_Asked = true;
      }
   }
}
javascript_obj1107_001.js pdf-javascript-stream PDF /JS object 1107 at offset 0x19CE 902 bytes
SHA-256: 91ea259764c68d27b8981a339c02d8ea92224ae5c0d0cd0a7c8f3d645d599090
Preview script
First 1,000 lines of the extracted script
if (typeof(ADBE.Reader_Value_Asked) == "undefined")
   ADBE.Reader_Value_Asked = false;
if (typeof(ADBE.Viewer_Value_Asked) == "undefined")
   ADBE.Viewer_Value_Asked = false;
if (typeof(ADBE.Reader_Need_Version) == "undefined" || ADBE.Reader_Need_Version < 8.0)
{
   ADBE.Reader_Need_Version = 8.0;
   ADBE.Reader_Value_New_Version_URL = "http://cgi.adobe.com/special/acrobat/update";
   ADBE.SYSINFO = "?p=" + app.platform + "&v=" + app.viewerVersion + "&l=" + app.language + "&c=" + app.viewerType + "&r=" + ADBE.Reader_Need_Version;
}
if (typeof(ADBE.Viewer_Need_Version) == "undefined" || ADBE.Viewer_Need_Version < 8.0)
{
   ADBE.Viewer_Need_Version = 8.0;
   ADBE.Viewer_Value_New_Version_URL = "http://cgi.adobe.com/special/acrobat/update";
   ADBE.SYSINFO = "?p=" + app.platform + "&v=" + app.viewerVersion + "&l=" + app.language + "&c=" + app.viewerType + "&r=" + ADBE.Viewer_Need_Version;
}
javascript_obj1108_002.js pdf-javascript-stream PDF /JS object 1108 at offset 0x1B2A 3792 bytes
SHA-256: 42532e6508d5c2db0ab8c8dfcd630c448464119f6e0ad9b9d96e038b45e726fc
Preview script
First 1,000 lines of the extracted script
if (typeof(this.ADBE) == "undefined")
   this.ADBE = new Object();
ADBE.LANGUAGE = "ENU";
ADBE.Viewer_string_Title = "Adobe Acrobat";
ADBE.Viewer_string_Update_Desc = "Adobe Interactive Forms - Update";
ADBE.Viewer_string_Update_Reader_Desc = "Adobe Reader 7.0.5";
ADBE.Reader_string_Need_New_Version_Msg = "Diese PDF-Datei erfordert einen h�here Version von Adobe Reader. Dr�cken Sie OK, um die neueste Version herunterzuladen, oder wenden Sie sich an Ihren Systemadministrator.";
ADBE.Viewer_Form_string_Reader_601 = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Reader erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Klicken Sie auf OK, um ein Online-Update zu initiieren, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Reader_Older = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Reader erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Klicken Sie auf OK, um Informationen �ber Online-Downloads abzurufen, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Viewer_601 = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Acrobat erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Klicken Sie auf OK, um ein Online-Update zu initiieren, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Viewer_60 = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Acrobat erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Weitere Informationen erhalten Sie, wenn Sie die folgende Internetadresse aufrufen (indem Sie die URL durch Dr�cken von STRG+C [Win] oder Befehlstaste+C [Mac] kopieren und in die Adressleiste Ihres Browsers einf�gen). Sie k�nnen sich auch an Ihren Systemadministrator wenden.";
ADBE.Viewer_Form_string_Viewer_Older = "F�r diese PDF-Datei ist eine neuere Version von Adobe Acrobat erforderlich. Kopieren Sie diese URL, und f�gen Sie sie in Ihren Browser ein, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Reader_5x = "Dieses PDF-Formular kann nur in einer neueren Adobe Reader-Version verwendet werden. In einer �lteren Version wird das Formular zwar angezeigt, doch es funktioniert m�glicherweise nicht einwandfrei. Einige Formularelemente werden u. U. �berhaupt nicht angezeigt. Wenn eine Internetverbindung zur Verf�gung steht, klicken Sie auf OK, um in Ihrem Browser eine Web-Seite zu �ffnen, auf der die aktuelle Version erh�ltlich ist.";
ADBE.Viewer_Form_string_Reader_6_7x = "Dieses PDF-Formular kann nur in einer neueren Adobe Reader-Version verwendet werden. In einer �lteren Version wird das Formular zwar angezeigt, doch es funktioniert m�glicherweise nicht einwandfrei. Einige Formularelemente werden u. U. �berhaupt nicht angezeigt. Wenn eine Internetverbindung zur Verf�gung steht, klicken Sie auf OK, um die aktuelle Version herunterzuladen und zu installieren";
ADBE.Viewer_Form_string_Viewer = "Dieses PDF-Formular kann nur in einer neueren Adobe Acrobat-Version verwendet werden. In einer �lteren Version wird das Formular zwar angezeigt, funktioniert jedoch m�glicherweise nicht einwandfrei. Einige Formularelemente werden u. U. �berhaupt nicht angezeigt. Wenn eine Internetverbindung zur Verf�gung steht, klicken Sie auf OK, um die aktuelle Version herunterzuladen und zu installieren.";
stream_053_off0000ba16.bin decompressed-pdf-stream PDF FlateDecoded stream at offset 0xBA16 79533 bytes
SHA-256: 12d5c7be35a524e7ecf6578b35280c0a1c8906587026b6aa20d39f5e0fb14d11
stream_140_off00033592.bin decompressed-pdf-stream PDF FlateDecoded stream at offset 0x33592 352198 bytes
SHA-256: 1e8564d3d89047875dccaa98279599de9d7ddf77240906041f1156ba8edf3315
stream_141_off00075196.bin decompressed-pdf-stream PDF FlateDecoded stream at offset 0x75196 367087 bytes
SHA-256: b8e2518b116c26bab0e9f8c1672daf405dedad561157502b657e9005be2029aa
font_01_sfnt_off00065601.bin pdf-font-stream PDF embedded font (sfnt) at offset 0x65601 94875 bytes
SHA-256: 058d11642e857508126df5662db2c7af4bdc1892e73eea6fc33f2605a1fc3c20

Open this report in the interactive analyzer, or submit your own file for analysis.