PDF-Exploit

Vorgebliche Vodafone-Rechnung mit Malware

Donnerstag, 08.03.2012 | 15:41 von Frank Ziemann
Vorgebliche Vodafone-Rechnung
Vergrößern Vorgebliche Vodafone-Rechnung
Per Mail verschickte, vorgebliche Vodafone-Rechnungen enthalten eine PDF-Datei, die eine alte Sicherheitslücke im Adobe Reader ausnutzen soll. Im Erfolgsfall wird ein Trojanisches Pferd aus dem Internet geladen.
Malware-Spammer setzen derzeit gerne auf alte Sicherheitslücken, um neue Schädlinge in Umlauf zu bringen. So nutzen viele Schwachstellen in älteren Versionen des Adobe Reader aus, um mit einer speziell präparierten PDF-Datei schädlichen Code einzuschleusen. Jüngstes Beispiel sind vorgebliche Rechnungen des Mobilfunkanbieters Vodafone, die einen solchen Anhang enthalten.

Das Berliner Sicherheitsunternehmen eleven meldet in seinem Blog , die Spam-artig verschickten Mails kämen mit einem Betreff wie "Vodafone.Online-Rechnung" und gefälschten Absenderangaben. Im Anhang befindet sich eine Datei namens "VodafoneR.pdf", die Exploit-Code enthält. Wird die PDF-Datei in einer anfälligen Version des Adobe Reader geöffnet, gelangt enthaltener Javascript-Code zur Ausführung, der letztlich ein Trojanisches Pferd aus dem Internet lädt.

Der verschleierte Code in der PDF-Datei sieht zwei URLs in Deutschland vor, die als Bezugsquelle und Backup dienen. Bei dem Schädling kann es sich um einen so genannten Trojan-Downloader handeln, der weitere Malware herunter lädt. Von eleven in letzter Zeit im Zusammenhang mit derartigen Mails festgestellte Schädlinge verankern sich als Debugger im System, um so jedes beliebige Programm steuern zu können.

Das Sicherheitsunternehmen rät davon ab Mail-Anhänge zu öffnen, die von unbekannten Absendern stammen. Dabei gilt es genau hinzusehen, um Adressfälschungen zu erkennen. Außerdem sollten Sie Ihren PDF-Betrachter auf dem aktuellen Stand halten. Die neueste Version des Adobe Reader ist 10.1.2, eine Alternative ist der ebenfalls kostenlose Foxit Reader .

Donnerstag, 08.03.2012 | 15:41 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
1385258