Onderzoekers hebben een exemplaar ontdekt dat op besmette computers doc- en pdf-bestanden infecteert om zich zo verder te kunnen verspreiden. De malware wordt Asruex genoemd en de initiële besmetting vindt plaats via een lnk-bestand, waarmee de malware op het systeem wordt gedownload.

Eenmaal actief zoekt de malware naar pdf- en doc-bestanden op netwerkschijven en usb-sticks en voorziet die van twee oude exploits. Het gaat om een beveiligingslek in Adobe Reader van 2010 en een beveiligingslek in Microsoft Word van 2012. Wanneer de exploit aan het document is toegevoegd en het bestand vervolgens met een kwetsbare versie van Word of Adobe Reader wordt geopend, kan de malware ook het betreffende systeem infecteren.

Om slachtoffers niets te laten vermoeden krijgen die gewoon het oorspronkelijke document te zien. In de achtergrond wordt echter de exploit uitgevoerd en de malware geïnstalleerd. Naast pdf- en doc-documenten kan de malware ook exe-bestanden infecteren. Via de malware, die als backdoor fungeert, hebben aanvallers volledige controle over het systeem.

Volgens antivirusbedrijf Trend Micro laat het gebruik van de oude kwetsbaarheden zien dat de aanvallers weten dat hun slachtoffers met verouderde software werken.