89308

PDF-Exploit in Spam-Mails

24.10.2007 | 15:54 Uhr |

Inzwischen sind die ersten Spam-Mails unterwegs, in denen präparierte PDF-Dateien mit einem Exploit stecken.

Dieser nutzt den gerade von Adobe beseitigten Fehler in Adobe Reader und Acrobat, um Malware einzuschleusen.

Gerade erst hat Adobe Sicherheits-Updates für seine PDF-Programme Reader und Acrobat bereit gestellt, die eine schwerwiegende Sicherheitslücke schließen. Schon tauchen die ersten Spam-Mails auf, die mit speziell präparierten PDF-Dateien im Anhang versuchen Malware einzuschleusen. Dabei kommt eine modifizierte Fassung eines bereits vor zwei Wochen veröffentlichten Demo-Exploits zum Einsatz.

Gefährdet sind Windows-Rechner mit Windows XP und Internet Explorer 7, auf denen eine anfällige Version von Adobe Reader oder Adobe Acrobat (jeweils bis einschließlich Version 8.1.0) installiert ist. Wie das Internet Storm Center meldet , habe man bislang PDF-Dateien mit Namensbestandteilen wie "BILL" oder "INVOICE" gesehen, die den Exploit-Code enthalten. Die PDF-Dateien sind ungewöhnlich klein, gerade drei bis vier Kilobytes.

Der Exploit-Code deaktiviert die Windows-Firewall und lädt per FTP ein Trojanisches Pferd ("ldr.exe") aus dem Internet nach, das dann gestartet wird. Diese spioniert Daten aus und nimmt Kontakt zu einem russischen Server auf, dessen IP-Adresse zum berüchtigten "Russian Business Network" gehört.

Erkennung der schädlichen Dateien durch Antivirus-Software:

Antivirus

PDF-Datei

ldr.exe

AntiVir

EXP/CVE-5020.A

TR/Drop.LdPinch.dvx

Avast!

---

---

AVG

---

Obfustat.UGN

A-Squared

---

---

Bitdefender

---

---

ClamAV

Exploit.PDF

Trojan.Dropper-2734

Command AV

---

---

Dr Web

---

---

eSafe

---

File [100] (suspicious)

eTrust

PDF/CVE-2007-5020

Win32/Ursnif.BL

Ewido

---

---

F-Prot

---

---

F-Secure

Exploit.Win32.AdobeReader.b

Trojan-PSW.Win32.Papras.cf

Fortinet

---

suspicious

Ikarus

---

Win32.SuspectCrc.PDFExploit

Kaspersky

Exploit.Win32.AdobeReader.b

Trojan-PSW.Win32.Papras.cf

McAfee

Exploit-PDF.Shell / (Exploit-PDF)*

New Poly Win32 / (Spy-Agent.bg trojan)*

Microsoft

Exploit:Win32/RdrJmp.A

TrojanSpy:Win32/Agent.BI

Nod32

PDF/Exploit.Shell.A

Win32/PSW.LdPinch.DVX

Norman

---

---

Panda

---

---

QuickHeal

---

Suspicious

Rising AV

---

---

Sophos

---

Sus/UnkPacker

Spybot S&D

---

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

---

---

Symantec

Trojan.Pidief.A

--- (Infostealer)*

Trend Micro

EXPL_PIDIEF.B

TSPY_PAPRAS.CF

VBA32

---

---

VirusBuster

---

---

WebWasher

Exploit.CVE-5020.A

Trojan.Drop.LdPinch.dvx

GData AVK 2007 **

Exploit.Win32.AdobeReader.b

Trojan-PSW.Win32.Papras.cf

Quelle: AV-Test (), Stand: 24.10.2007, 15 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
89308