57238

PDF-Exploit geht um

11.02.2008 | 16:13 Uhr |

Offenbar bereits seit einigen Wochen werden Mails Spam-artig verbreitet, die im Anhang speziell präparierte PDF-Dateien enthalten. Diese sollen eine erst kürzlich von Adobe gestopfte Schwachstelle im Adobe Reader ausnutzen.

Ende letzter Woche hat Adobe die neue Version 8.1.2 seines kostenlosen PDF-Readers bereit gestellt . Wie inzwischen bekannt geworden ist, werden bereits seit etwa 20. Januar Spam-Mails verschickt, die präparierte PDF-Dateien enthalten. Auch Werbebanner auf Web-Seiten streuen solche PDF-Dateien. Diese sollen eine der von Adobe geschlossenen, aber nicht erwähnten Sicherheitslücken ausnutzen. Wie das Internet Storm Center berichtet , schleusen diese Dateien im Erfolgsfall ein Trojanisches Pferd ein.

Die zuerst am 20. Januar in einem italienischen Web-Forum gemeldeten Exploit-Dateien sind so präpariert, dass sie einen Pufferüberlauf im Adobe Reader (bis Version 8.1.1) provozieren und ein Trojanisches Pferd aus der Familie "Zonebac" installieren. Auch ältere Versionen, etwa 7.x, des Adobe Readers sind anfällig. Der Zonebac-Schädling versucht Antivirus-Programme zu deaktivieren und manipuliert Suchergebnisse und Werbebanner.

Am Freitag, den 8.Februar, hat das zu Verizon gehörende Sicherheitsunternehmen iDefense drei Sicherheitsmitteilungen veröffentlicht, aus denen etwas mehr zu den von Adobe gestopften Sicherheitslücken zu erfahren ist. Demnach sind die Schwachstellen bereit im Herbst 2007 von iDefense entdeckt worden. Sie betreffen den Umgang des Adobe Readers mit Javascript-Anweisungen und dessen Nutzung von Programmbibliotheken zur Verschlüsselung und Signaturüberprüfung.

Die ersten der präparierten PDF-Dateien stammten von einem Server in den Niederlanden, der mittlerweile nicht mehr erreichbar ist. Antivirus-Hersteller haben seit der ISC-Meldung von Samstag die Erkennung der bekannten PDF-Dateien in ihren Produkten verbessert.

Erkennung einer präparierten PDF-Datei durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

---

Avast!

---

AVG

Generic_c.GGU (Trojan horse)

A-Squared

---

Bitdefender

---

ClamAV

---

Command AV

---

Dr Web

---

eSafe

---

eTrust

---

Ewido

---

F-Prot

---

F-Secure

Exploit.Win32.Pidief.a

Fortinet

W32/AdobeReader!exploit

G-Data AVK

Exploit.Win32.Pidief.a

Ikarus

---

Kaspersky

Exploit.Win32.Pidief.a

McAfee

--- (Exploit-PDF.b)*

Microsoft

Exploit:Win32/Pdfjsc.A

Nod32

PDF/Exploit.Pidief.A trojan

Norman

PDF/Exploit.A

Panda

---

QuickHeal

---

Rising AV

---

Sophos

---

Spybot S&D

---

Sunbelt

---

Symantec

Trojan.Pidief.C

Trend Micro

EXPL_PIDIEF.O

VBA32

---

VirusBuster

---

WebWasher

WW: Exploit.PDF.ZoneBac.B, WW: Exploit.PDF.ZoneBac.gen

Quelle: AV-Test ( http://www.av-test.de ), Stand: 11.02.2008, 15 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
57238