Trojanische Mail-Anhänge
PDF-Exploit geht um
Offenbar bereits seit einigen Wochen werden Mails Spam-artig verbreitet, die im Anhang speziell präparierte PDF-Dateien enthalten. Diese sollen eine erst kürzlich von Adobe gestopfte Schwachstelle im Adobe Reader ausnutzen.
Ende letzter Woche hat Adobe die neue Version 8.1.2 seines kostenlosen PDF-Readers bereit gestellt. Wie inzwischen bekannt geworden ist, werden bereits seit etwa 20. Januar Spam-Mails verschickt, die präparierte PDF-Dateien enthalten. Auch Werbebanner auf Web-Seiten streuen solche PDF-Dateien. Diese sollen eine der von Adobe geschlossenen, aber nicht erwähnten Sicherheitslücken ausnutzen. Wie das Internet Storm Center berichtet, schleusen diese Dateien im Erfolgsfall ein Trojanisches Pferd ein.
Die zuerst am 20. Januar in einem italienischen Web-Forum gemeldeten Exploit-Dateien sind so präpariert, dass sie einen Pufferüberlauf im Adobe Reader (bis Version 8.1.1) provozieren und ein Trojanisches Pferd aus der Familie "Zonebac" installieren. Auch ältere Versionen, etwa 7.x, des Adobe Readers sind anfällig. Der Zonebac-Schädling versucht Antivirus-Programme zu deaktivieren und manipuliert Suchergebnisse und Werbebanner.
Am Freitag, den 8.Februar, hat das zu Verizon gehörende Sicherheitsunternehmen iDefense drei Sicherheitsmitteilungen veröffentlicht, aus denen etwas mehr zu den von Adobe gestopften Sicherheitslücken zu erfahren ist. Demnach sind die Schwachstellen bereit im Herbst 2007 von iDefense entdeckt worden. Sie betreffen den Umgang des Adobe Readers mit Javascript-Anweisungen und dessen Nutzung von Programmbibliotheken zur Verschlüsselung und Signaturüberprüfung.
Die ersten der präparierten PDF-Dateien stammten von einem Server in den Niederlanden, der mittlerweile nicht mehr erreichbar ist. Antivirus-Hersteller haben seit der ISC-Meldung von Samstag die Erkennung der bekannten PDF-Dateien in ihren Produkten verbessert.
Erkennung einer präparierten PDF-Datei durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | --- |
| Avast! | --- |
| AVG | Generic_c.GGU (Trojan horse) |
| A-Squared | --- |
| Bitdefender | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | --- |
| eSafe | --- |
| eTrust | --- |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Exploit.Win32.Pidief.a |
| Fortinet | W32/AdobeReader!exploit |
| G-Data AVK | Exploit.Win32.Pidief.a |
| Ikarus | --- |
| Kaspersky | Exploit.Win32.Pidief.a |
| McAfee | --- (Exploit-PDF.b)* |
| Microsoft | Exploit:Win32/Pdfjsc.A |
| Nod32 | PDF/Exploit.Pidief.A trojan |
| Norman | PDF/Exploit.A |
| Panda | --- |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | --- |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | Trojan.Pidief.C |
| Trend Micro | EXPL_PIDIEF.O |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | WW: Exploit.PDF.ZoneBac.B, WW: Exploit.PDF.ZoneBac.gen |
Quelle: AV-Test (http://www.av-test.de), Stand: 11.02.2008, 15 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
* noch nicht in offiziellen Virensignaturen enthalten
