Malicious PDF — malware analysis report

Static analysis result for SHA-256 f3a04f17f3e80ea4…

MALICIOUS

PDF

4.34 MB Created: 2002-12-12 17:51:45 -07:00 Authoring application: Adobe Illustrator 10.0 (via Adobe PDF library 5.00)
MD5: 0380babba1f68b022e94555bf08fc2bd SHA-1: 589ed9eb2c411d422288081582106c645b36ac3c SHA-256: f3a04f17f3e80ea4110f27310baf74b1f595a676a9efc25b6c00cd2af77f94d4
358 Risk Score

Malware Insights

MITRE ATT&CK
T1204.002 Malicious File T1140 Deobfuscate/Decode Files or Information

The PDF file contains critical heuristics indicating an XFA heap spray exploit and a hidden ZIP payload with executable entries. An embedded PE executable was also detected. The presence of JavaScript with eval() calls and the XFA heap spray strongly suggest the file is designed to execute arbitrary code. The extracted ZIP archive contains JavaScript files, and the embedded executable is the primary payload.

Heuristics 10

  • XFA JavaScript heap-spray exploit code critical PDF_XFA_HEAP_SPRAY
    PDF contains XFA script content with heap-spray or shellcode-like JavaScript markers such as large encoded word sequences, util.pack, large arrays, or spray variable names. This is a weaponised Adobe Reader exploit pattern, not a normal interactive form.
  • Hidden ZIP payload with executable entries inside PDF stream critical PDF_HIDDEN_ZIP_EXECUTABLE_PAYLOAD
    PDF stream bytes contain an embedded ZIP archive whose local headers name executable payload files. This is not a normal PDF attachment (/EmbeddedFile); it hides Windows payloads inside an ordinary stream, a strong malware-loader or smuggling pattern.
  • Embedded Windows executable payload in PDF stream critical PDF_EMBEDDED_PE_PAYLOAD
    PDF stream bytes contain an embedded Windows executable with a verified PE header. Exploit chains often hide droppers inside ordinary streams rather than standard /EmbeddedFile attachments.
  • Secondary embedded PDF body has suspicious static findings critical POLYGLOT_CHILD_PDF_STATIC_TRIAGE
    A valid PDF body was found at a nonzero offset inside another container and its carved contents matched PDF exploit or lure heuristics. This catches polyglots where the top-level magic routes to ZIP/OLE while a PDF reader or downstream parser opens the hidden PDF payload.
  • ClamAV detection on extracted artifact critical EXTRACTED_FILE_CLAMAV
    ClamAV flagged at least one file extracted from inside this sample. Even when the wrapping document carries no AV detection of its own, a hit on the carved artifact is a strong indicator the sample is a delivery vehicle.
  • eval() call high PDF_EVAL
    eval() found — commonly used for obfuscated exploit execution
  • JavaScript action low PDF_JAVASCRIPT
    PDF contains a /JavaScript action. Generic JavaScript is common in benign forms; specific dangerous APIs are scored by separate rules.
  • Embedded JS stream low PDF_JS
    PDF references a /JS stream. Generic JavaScript is common in benign forms; specific dangerous APIs are scored by separate rules.
  • PDF differential parser failed info PDF_DIFFERENTIAL_PARSE_FAILED
    The cross-check parser (pdfminer.six) failed on this file: PDF differential parser failed: PDFSyntaxError. Static heuristics still ran and any of their findings above are valid; only the differential cross-check signal is missing.
  • Embedded URL info EMBEDDED_URL
    One or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.
    URL http://kona.kontera.com/javascript/lib/KonaLibInline.js
    • http://192.168.0.1:4444/wipconn
    • http://www.w3.org/1999/02/22-rdf-syntax-ns#
    • http://ns.adobe.com/iX/1.0/
    • http://ns.adobe.com/pdf/1.3/
    • http://ns.adobe.com/xap/1.0/
    • http://purl.org/dc/ele�����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
    • http://home.netscape.com/NC-rdf#persist
    • http://home.netscape.com/NC-rdf#command?cmd=deletebookmark
    • http://home.netscape.com/NC-rdf#command?cmd=deletebookmarkseparator
    • http://home.netscape.com/NC-rdf#command?cmd=setpersonaltoolbarfolder
    • http://home.netscape.com/NC-rdf#command?cmd=import
    • http://home.netscape.com/NC-rdf#command?cmd=export
    • http://home.netscape.com/NC-rdf#command?cmd=refreshlivemark
    • http://developer.mozilla.org/rdf/vocabulary/forward-proxy#forward-proxy
    • http://my.netscape.com/rdf/simple/0.9/channel
    • http://my.netscape.com/rdf/simple/0.9/item
    • http://my.netscape.com/rdf/simple/0.9/title
    • http://my.netscape.com/rdf/simple/0.9/link
    • http://purl.org/rss/1.0/channel
    • http://purl.org/rss/1.0/items
    • http://purl.org/rss/1.0/title
    • http://purl.org/rss/1.0/link
    • http://purl.org/dc/elements/1.1/date
    • http://lxr.mozilla.org/seamonkey/source/embedding/components/ui/progressDlg/nsProgressDialog.xul
    • http://bugzilla.mozilla.org/show_bug.cgi?id=120198#c27
    • http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd
    • http://www.w3.org/1999/xhtml
    • http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd
    • http://www.mozilla.com/firefox/
    • http://pagead2.googlesyndication.com/pagead/show_ads.js
    • http://www.mozilla.org/MPL/
    • http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul
    • http://www.mozilla.org/2004/em-rdf#
    • https://addons.mozilla.org/update/VersionCheck.php?reqVersion=%REQ_VERSION%&id=%ITEM_ID%&version=%ITEM_VERSION%&maxAppVersion=%ITEM_MAXAPPVERSION%&appID=%APP_ID%&appVersion=%APP_VERSION%&appOS=%APP_OS%&appABI=%APP_ABI%
    • https://addons.mozilla.org/extensions/?application=%APPID%
    • https://addons.mozilla.org/themes/?application=%APPID%
    • http://home.netscape.com/NC-rdf#DayFolderIndex
    • http://home.netscape.com/NC-rdf#

Extracted artifacts 4

Files carved from inside the sample during analysis.

FilenameKindSourceSize
hidden_pdf_zip_off0003a01f.zip
1b2597073d52cd9d1da032016f4b32412ed1fed69f4b2188600a8b65219c7bff		 pdf-hidden-zip PDF raw stream ZIP payload at offset 0x3A01F 3143205 bytes
embedded_pdf_00047000.exe
1575678b0f9b742d58f825f17a3831871ed5563f2888a9b67fb06d1448e2e7cf		 embedded-pe PDF raw stream PE payload at offset 0x47000 3089988 bytes
hidden_pdf_zip_off000166c5.zip
7be51c4424b7b1461ca3e28b7c42a7976d9b90c9b0b727e1e1a341562c30b2b9		 pdf-hidden-zip PDF decompressed stream ZIP payload at offset 0x166C5 1173400 bytes
polyglot_child_pdf_off00321b6c.pdf
500c1c14547a77eb106d3e578d58e614002f7af876fd167304bdcf83b29631a8		 polyglot-child-pdf Secondary PDF body inside pdf container at offset 0x321B6C 1265273 bytes
Detection
ClamAV: Pdf.Exploit.Agent-23692
Obfuscation or payload: unlikely

Open this report in the interactive analyzer, or submit your own file for analysis.