44600

Wie man geheime Malware-Tools nicht ausprobiert

04.06.2008 | 16:09 Uhr |

Im Untergrund kursiert offenbar ein Malware-Tool, das es ermöglicht PDF-Dateien zu generieren, die eine bekannte Sicherheitslücke ausnutzen. Eine Kopie des Programm ist versehentlich an einen Antivirus-Hersteller geschickt worden.

Die Malware-Forscher des finnischen Antivirus-Herstellers F-Secure hätten womöglich nie von der Existenz diese Programms erfahren, wenn es ihnen nicht die Dummheit eines Benutzers in die Hände gespielt hätte. Das chinesische Tool dient dazu PDF-Dateien zu erzeugen, die eine schädliche EXE-Datei enthalten. Beim Öffnen der PDF-Datei mit einer anfälligen Version (8.11 oder älter) des Adobe Reader wird die EXE-Datei aufgerufen.

Möglich wird dies durch eine Sicherheitslücke im Adobe Reader, die der Hersteller mit der Version 8.12 gestopft hat. Wird die PDF-Datei mit einer älteren Version geöffnet, werden eine EXE-Datei und eine harmlose PDF-Datei auf der Festplatte abgelegt. Die präparierte PDF-Datei wird wieder geschlossen und die harmlose geöffnet. Dann wird die EXE-Datei gestartet.

Die Malware-Forscher von F-Secure berichten in ihrem Blog , dass sie eine derart präparierte PDF-Datei erhalten haben. Bei deren Aufruf wurde ein Programm namens "Y08-40" (GenMDB.exe) gestartet, das sich als Tool zum Erzeugen solcher präparierten PDF-Dokumente erwiesen hat. Es bietet eine Auswahlmöglichkeit für die Schadensroutine (EXE-Datei) sowie eine harmlose PDF-Datei und generiert daraus eine neue PDF-Datei.

Doch wie kam das Tool zu F-Secure? Offenbar hat jemand irgendwo auf der Welt das Programm ausprobiert und versehentlich ausgerechnet das Tool selbst als Schadensroutine ausgewählt. Um mal zu gucken, ob die präparierte Datei von Virenscannern erkannt wird, hat er sie bei einem Online-Virenscanner wie etwa VirusTotal hochgeladen. Dieser hat die Datei routinemäßig an die Antivirus-Hersteller weiter gegeben.

0 Kommentare zu diesem Artikel
44600