PDF-Angriff per Mail

Seit einiger Zeit ist auch einer breiteren Öffentlichkeit bekannt, dass PDF-Dokumente Programme starten können, ohne eine Sicherheitslücke im Adobe Reader oder in einem anderen PDF-Betrachter auszunutzen. Malware, die diese Möglichkeit nutzt, gibt es seitdem ebenfalls. Das jüngste Beispiel sind per Mail verbreitete PDF-Dateien, die einen Autorun-Wurm und ein Rootkit enthalten.

Die Mails werden Spam-artig verschickt und kommen mit einem Betreff wie "Setting for your mailbox are changed" sowie gefälschten Absenderangaben. Die angegebene Absenderadresse ist identisch mit der des Empfängers oder entstammt zumindest der gleichen Domain. Im Text heißt es, die Einstellung der Mailbox seien geändert worden und die beigefügte Datei enthalte Anweisungen, die der Empfänger sorgfältig lesen möge.

Der Anhang besteht aus einer etwa 250 KB großen PDF-Datei namens "doc.pdf", deren einziger Textinhalt der Dateiname "Important Information doc.pdf" ist. Wird sie im Adobe Reader geöffnet, zeigt dieser einen Dialog an, der auf das Starten einer Datei hinweist. Der Texthinweis ist vom Malware-Programmierer manipuliert.

Ansonsten besteht die Datei aus gänzlich ungetarntem VBScript-Code. Dieser konvertiert eine lange Folge kodierter Zeichen und schreibt neben zwei VBS-Hilfsscripten (script.vbs, batschript.vbs) eine Programmdatei namens "game.exe" in das TMP-Verzeichnis, die dann ausgeführt wird. Ihr Binär-Code besteht aus den konvertierten Zeichen. Alle drei Dateien werden nach Gebrauch gleich wieder gelöscht.