36118

PDF-Exploits allerorten

25.09.2008 | 16:06 Uhr |

Eine zunehmende Zahl von Baukastensystemen für Web-Angriffe setzt auf die Ausnutzung von Sicherheitslücken im Adobe Reader mit Hilfe präparierter PDF-Dateien. Offenbar verspricht dies mehr Erfolg als nur den IE anzugreifen.

Wenn Sie immer noch eine veraltete Version des Adobe Reader zum Betrachten von PDF-Dateien einsetzt, sollten Sie so langsam mal auf eine aktuelle Fassung umsteigen, etwa Version 8.12 mit Security Update 1. Immer mehr Angriffs-Kits enthalten Exploit-Code, der eine Sicherheitslücke im Adobe Reader ausnutzen soll, um Malware einzuschleusen. Es gibt mittlerweile sogar einen solchen Angriffsbaukasten, der ausschließlich auf PDF-Exploits setzt.

Das Anti-Malware Team des Sicherheitsunternehmens Secure Computing berichtet in seinem Blog über die Entdeckung eines neuen Angriffsbaukastens, der "PDF Xploit Pack" genannt wird. Gerät ein Besucher auf eine damit ausgestattete Web-Seite, wird ihm automatisch eine speziell präparierte PDF-Datei aufgenötigt. Wird diese in einer anfälligen Version des Adobe Reader geöffnet, landet ein vom Angreifer ausgewähltes Malware-Bündel auf der Festplatte.

Die IP-Adresse des Besuchers wird im Erfolgsfall für eine gewisse Zeit gesperrt, sodass der PDF-Exploit kein zweites Mal ausgeliefert wird. Damit wollen es die Täter Malware-Forschern und Antivirusherstellern erschweren den Angriff nachzuvollziehen und Gegenmaßnahmen für den Rest der Welt zu entwickeln. Bereits bestehende Toolkits sind ebenfalls mit PDF-Exploits nachgerüstet worden. Dazu zählt zum Beispiel das Toolkit "El Fiesta".

Die zunehmende Zahl der auf PDF-Exploits setzenden Angriffswerkzeuge unterstreicht, dass Admins und Endanwender zwar möglicherweise regelmäßig die Windows-Updates einspielen, nicht jedoch Sicherheits-Updates für andere installierte Software. Für Online-Kriminelle heißt das, sie verlassen ausgetretene Pfade, etwa den der Ausnutzung von ActiveX-Schwachstellen im Internet Explorer. Mit einem PDF-Exploit kann man schließlich auch notorische Firefox- und Opera-Nutzer treffen.

Die Erkennung mit Exploit-Code präparierter PDF-Dateien durch Antivirusprogramme ist eher lückenhaft.

Antivirus

Malware-Name

AntiVir

HTML/Shellcode.Gen

A-Squared

Trojan-Downloader.Win32.Small.c!IK

Avast!

---

AVG

Generic_c.WQA (Trojan horse)

Bitdefender

Exploit.JS.PDF.B

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

---

Ewido

---

Fortinet

---

F-Prot

---

F-Secure

Exploit.Win32.Pidief.hz

G-Data AVK 2008

Exploit.Win32.Pidief.hz

G-Data AVK 2009

Exploit.JS.PDF.B

Ikarus

Trojan-Downloader.Win32.Small.c

K7 Computing

---

Kaspersky

Exploit.Win32.Pidief.hz

McAfee

---

Microsoft

Exploit:JS/ShellCode.C

Nod32

PDF/Exploit.Pidief.NCK trojan

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

SecureWeb-Gateway

Script.Shellcode.Gen

Sophos

---

Spybot S&D

---

Sunbelt

---

Symantec

Bloodhound.Exploit.196

Trend Micro

TROJ_PIDIEF.BC

VBA32

---

VirusBuster

---

Quelle: AV-Test , Stand: 25.09.08, 14:30 Uhr

0 Kommentare zu diesem Artikel
36118