自生成的文件匹配病毒定义

自生成的文件匹配病毒定义。

使用从门户或 Web 界面获取的信息中生成文档文件的应用程序是广泛传播和增长的。

这些文件往往很容易受到误报触发器和更频繁的签名碰撞。 这是因为应用程序很少从门户中清除未使用的设置，并将所有额外数据转储到文档中。 当文档读取器打开或查看时，它不可见。 但是，当文件在基本文本编辑器中打开时，额外数据清晰可见。

PDF

% PDF-1 .4 锐度扫描图像 PDF
% 锐利非加密
3 0 obj

/ 类型 / 页
/父 1 0 R
/ 资源 4 0 R
/内容 5 0 R
/Mediabox [0 0 613.440 792.000]
>>端

4 0 obj

/ ProcSet PDF [/ / 图像 B]
/X 对象 < /Img1 6 0 R >>
>>端

5 0 obj

/ 过滤器 / 平底码 / 长度
36
>>流 x

[334] 311P Ask # ###; 9 — — K [ 37] % # x ×#k
端流
端流端口
6 0 obj

/ 类型 / X 对象
/子类型/图像
/名称/Img1/
过滤器/CCITTFax码
/解码栏 < / K -1/列1704/行2200>>/
宽度1704/
高度2200/
位前组件
1/彩色空间/设备
Gray/长度7 R
0>>
流
>> þX#ÿ×úßÿÿÿÿÿïþ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿòØ：ãÿü¶̧ A]#5¶#flƒGg]##3/4#一 D ÌÔ O 个 <&|h—#ù=Iq#sãô#×EÃFv##í#Úi„#t’,wÒ#ê¡:#6°ƒi# FÆ "cŸŠú#é[™"-[D]。oné1/4... R[#ˆ†...Ûû¥ïÛÿûÿç·s97ÉŽ±Òß× Ç ##ëHºOTÂpÓZøïú× Ü �æ#ýGÿñ ké#'ZÌᥥüðúþ'#ö? #HÙ0ÂT#,%ï#'#Ð_¿ � A 'c# Õ # Ì 'x"ž�Ÿý&ÈëÊ/ I #'# Ê }¡##\ ËP ¯_øg€� X ¯^' A $5MW2@b××ÿ£ßúM¤' H $ Ž %• É .#Šv?úõ6Øa-mpE <#OJñ¬úáC#ýÿâØ­# ÅG #"Õ1\|(D < ÄDJ .####××#4]"r›@ezè...

% PDF-1 。6

103 0 奥比

hÞ";#1#...ÿÊ）"[C] Œ À [] ‰ 1][x]] Õ ×[]›]]#N91/4]]"‡ƒÓÕXé"] O Ž T ÊPX  K[1÷
[#2] Ñ Y ̧‡" ÂÑ ™[ ##aö#Wˆr#7fã±#b] L #ànbCáä9•T"[ª' W ›]"×[¹]]"[#Èøgä]¹]！Óþôkùv|# Ï ¾ V #^_–ép9ÿ~ÜzûÓér{» R p7# Ö ' Ü " <¢ F ´ˆ#1Gl{¯ O ¸ EP ,(### Š # Å 'bAP <(### Š #ŃâP <(#”#”ºQ~ N ;Þ[[1/4]#eúz|[úðùþÓ÷ÃGvÞ]]®MI75]¶›so9]/ÿ #IyK'×$yO'#%ÿ7õEÞºyW æmiÞ'-百分比=×=úŽŸ æmiÞ HD

端流

hÞ± Ì 美元

端流

hÞ <‹ Ë
Â0# E å.+# I ¡‹# J @#WBEú#±Œt #™þ½AÁÝáÞsFXL#& Ì ³9çš#½¹°#m« ÅÝ \ý#×÷‹ÌR5p¢â\#Nèí÷ºy¡– Ž ?�5P·î\# H •#�4cËéÉ#¡»Wä*ˆ##$ǃs### s(Ë

端流

ÎWW K hÞtPMkÃ0ý>n-（†-[#c]#rpSQ：8]#dÿ#3#？ IOOO[y]2"#l]ƒç3/47Þ±"][Q][xBq3] JÓ Ø [n] éj] M
Ja] Ž #m‡$K]#t‡#HâÅ[]®，]#1/4Mþ[1]2] []]#å]™[][7]>Ï_][f] QŽ Ž ÔÏ R E <*#áývqÍ|Ìö¯ Û À#

端流

hÞ1/4-ko#9#†ÿÊù#[[™] B "[6] E @š[ª] CÐ "†#vp=1i=ƒ"#80FQ É
©" [）|##d]][ƒ]PRƒAÆzæ6"5"，"¶ Á Ê Õ E À FT ‡‡±‰#t"]6#6#‰？ ÛKÀ[[3 G ̧]] Š >]̧#_v][×][¶]Ÿy][w]|]]±#öE ̧ 1/4 N D <KžÝˆºÖmÅ}^ÞëÛMú¾ ¿¡ÅBæ
美元 I
<## Þ ]a× Ý VËYY#R

端流

hÞÔU]o›0#ý+þ##þi¤ I �ö@#¶"%##é´?ß‹m##Yš—i##ƒï½'Çöõ '"0FbN˜ L ##çŒ0Ex* ÓDè"hF$7ƒÉÒT'ÛÛh–5ùCU¶Ñc¾}ËÛb� E #Ëuµ) ÊŸÑ ×¢üP6...<Zš#Ãg#¥ww! Ï ÿ[>][u] 1/4]，"q=m=e]#ƒ"=97j]#g[3] ÙÞÜ[ˆ¶o-]，ª]- VŽS Åš^²ý�¹)_emÓÕ¾dóÕ;d <å¿ PÈ —gÜ£ÏËé"{(ꦽÍjB'mž7ëºØ· UM#�â?e6�+Õk¨#ùÒ‰ ÁBà ¼i_›oqœ� ®(# B #¥# Q ""#5�ÄLr" AL €' L }# Œ #wEƒç‰i#3Ÿ
j.#'ZÇ8ºw×è
÷dèGÒì'‡÷#º"�ú#ä�÷# X = Ú #c'väîˉ#¥ É #n#(ˆ5,]û6psçÜH*qìFìÔ�dpDCÀBÝ S #Ïi1U� Û ¯§ù�) Œ ## ~ûb3š'3£i#3ú# À å#yÅ

端流

T TÐ #©普#b##

端流

<?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?>
<x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.6-c017 91.164464, 2020/06/15-10:20:05 ">
<rdf:RDF
<rdf:Description rdf:about=""

xmlns：rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#">xmlns：xmp="http://ns.adobe.com/xap/1.0/"xmlns：xmpMM="http://ns.adobe.com/xap/1.0/mm/"xmlns：dc="http://purl.org/dc/elements/1.1/"xmlns：pdf="http://ns.adobe.com/pdf/1.3/"xmlns：p

http://ns.adobe.com/pdfx/1.3/ >


http://ns.adobe.com/AcrobatAdhocWorkflow/1.0/ 2020-09-28T12：23：32-05：00<xmp:ModifyDate>2017-05-00</xmp:ModifyDate>
<xmp:CreateDate>4T16：52：12-05：00</xmp:CreateDate>
<xmp:MetadataDate>2020-09-28T12：23：32-05：00</xmp:MetadataDate>
<xmp:CreatorTool>杂技演员 PDFMaker 11 为 Word</xmp:CreatorTool>
<xmpMM:DocumentID>uuid：16dfb -b3fb-4186-a8db-c6647d7</xmpMM:DocumentID>
<xmpMM:InstanceID>uuid：c658806f-41ac-b6f9-58064eb927</xmpMM:InstanceID>
<xmpMM:subject>
<rdf:Seq>
<rdf:li>7</rdf:li>
</rdf:Seq>
</xmpMM:subject>
<dc:format>应用程序/pdf</dc:format>
<dc:title>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:title>
<dc:description>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:description>
<dc:creator>
<rdf:Seq>
<rdf:li></rdf:li>
</rdf:Seq>
</dc:creator>
<pdf:Producer>Adobe 库 PDF 11.0; 修改使用 iText 共享 4.1.6 由 1T3XT</pdf:Producer>
<pdf:Keywords/>
<pdfx:SourceModified> D ：20170504215149</pdfx:SourceModified>
<pdfx:Company></pdfx:Company>
<adhocwf:state>
<adhocwf:version>1.1

RDF
></adhocwf:version> </adhocwf:state></x:xmpmeta>
<?xpacket end="w"?>

端流

RTF

[\rtf1]adeflang1025\安西奇普格1252\uc1=adeff0\deff0=stshfdbch0=斯特什弗洛奇0=斯特什菲奇0\斯特什比夫0=德夫朗1033\主题朗1 033[主题朗格夫0]主题朗奇斯0\[f0]fbidi[来自*fcharset0]fprq2\\*帕诺斯020206030504050204}时代新罗马\**伪造时代新罗马}：

[[f1]fbidi [fswis] fcharset0[fprq2] [帕诺斯 020b06040202020204] 阿里亚尔[*法尔特·阿里亚尔]：[[f2]fbidi[现代]fcharset0=fprq1\*帕诺斯02070309020205020404}快递新+*法尔特快递新}：

[[f3]fbidi [来自[ fcharset2] fprq2 [* 窗格 05050102010706020507}符号\*伪造符号}：[[f10]德夫迪[fnil]fcharset2[fprq2][窗格0500000000000000000000]翼定：[[f34]fbidi[来自/fcharset0]fprq2\\*帕诺斯02040503050406030204}坎布里亚数学;}

[[f37]fbidi[瑞士]fswis=fcharset0=fprq2\*帕诺斯020f05020202040304}卡利布里：}[[弗洛马约尔]f31500[fbidi]从[fcharset0]fprq2[**窗格02020603050405020304]时代新罗马\\*伪造时代新罗马}：

[fdbmajor]f31501[fbidi]从[fcharset0]fprq2[**帕诺斯02020603050405020304]时代新罗马\\*伪造时代新罗马}：[[菲马约尔]f31502[fbidi]从[fcharset0]fprq2[**帕诺斯02040503050406030204}坎布里亚：}

[[修订]yr2020\mo3=dy23\hr14\min10][打印]2003\mo11\dy4\hr=min29}[版本3][无页3][无字541][无字3089][公司阿尔特公司]{\诺夫查斯3623}{\文87}}{\\毫升[xmlns1 http://schemas.microsoft.com/office/

字/2003/字毫升}\纸12240\纸15840\马格尔576\马格尔576\马格特864\马格布576\排水沟0\ltrsect

所有这些额外的和异常的数据有助于高误报和签名碰撞率。

最好的缓解措施是让应用程序使用数字证书在这些文件上签名，并将证书列入白名单。 让开发人员这样做可能很费时，但它是最安全的缓解措施。

许多创建文档的应用程序将提取并将文件放置到多个服务器或多个客户端，从而使其中一个或另一个文件白名单变得困难。 这些生成文件的流量有时可以通过应用程序将它们列入白名单。 将应用程序列入白名单是下一个最安全的模式，并且可以通过一个简单的规则完成。


如果日志中看不到文档创建应用程序，并且文档是从一个内部源生成和/或发送到一个内部目的地，则将常见单项列入白名单 IP 是下一个最佳解决方案。 这可以通过另一种类型的规则来完成。

请记住，这些规则中的任何一个 AV 和 Wildfire 配置文件都被遗漏了。 你必须关闭这些文件的检查 AV 和 Wildfire 。