Eine zunehmende Zahl von Baukastensystemen für Web-Angriffe setzt auf die Ausnutzung von Sicherheitslücken im Adobe Reader mit Hilfe präparierter PDF-Dateien. Offenbar verspricht dies mehr Erfolg als nur den IE anzugreifen.
Wenn Sie immer noch eine veraltete Version des Adobe Reader zum Betrachten von PDF-Dateien einsetzt, sollten Sie so langsam mal auf eine aktuelle Fassung umsteigen, etwa Version 8.12 mit Security Update 1. Immer mehr Angriffs-Kits enthalten Exploit-Code, der eine Sicherheitslücke im Adobe Reader ausnutzen soll, um Malware einzuschleusen. Es gibt mittlerweile sogar einen solchen Angriffsbaukasten, der ausschließlich auf PDF-Exploits setzt.
Das Anti-Malware Team des Sicherheitsunternehmens Secure Computing berichtet in seinem Blog über die Entdeckung eines neuen Angriffsbaukastens, der "PDF Xploit Pack" genannt wird. Gerät ein Besucher auf eine damit ausgestattete Web-Seite, wird ihm automatisch eine speziell präparierte PDF-Datei aufgenötigt. Wird diese in einer anfälligen Version des Adobe Reader geöffnet, landet ein vom Angreifer ausgewähltes Malware-Bündel auf der Festplatte.
Die IP-Adresse des Besuchers wird im Erfolgsfall für eine gewisse Zeit gesperrt, sodass der PDF-Exploit kein zweites Mal ausgeliefert wird. Damit wollen es die Täter Malware-Forschern und Antivirusherstellern erschweren den Angriff nachzuvollziehen und Gegenmaßnahmen für den Rest der Welt zu entwickeln. Bereits bestehende Toolkits sind ebenfalls mit PDF-Exploits nachgerüstet worden. Dazu zählt zum Beispiel das Toolkit "El Fiesta".
Die zunehmende Zahl der auf PDF-Exploits setzenden Angriffswerkzeuge unterstreicht, dass Admins und Endanwender zwar möglicherweise regelmäßig die Windows-Updates einspielen, nicht jedoch Sicherheits-Updates für andere installierte Software. Für Online-Kriminelle heißt das, sie verlassen ausgetretene Pfade, etwa den der Ausnutzung von ActiveX-Schwachstellen im Internet Explorer. Mit einem PDF-Exploit kann man schließlich auch notorische Firefox- und Opera-Nutzer treffen.
Die Erkennung mit Exploit-Code präparierter PDF-Dateien durch Antivirusprogramme ist eher lückenhaft.
|
Antivirus
|
Malware-Name
|
|---|---|
|
AntiVir
|
HTML/Shellcode.Gen
|
|
A-Squared
|
Trojan-Downloader.Win32.Small.c!IK
|
|
Avast!
|
---
|
|
Generic_c.WQA (Trojan horse)
|
|
|
Exploit.JS.PDF.B
|
|
|
CA-AV
|
---
|
|
ClamAV
|
---
|
|
Command AV
|
---
|
|
Dr Web
|
---
|
|
Ewido
|
---
|
|
Fortinet
|
---
|
|
F-Prot
|
---
|
|
Exploit.Win32.Pidief.hz
|
|
|
G-Data AVK 2008
|
Exploit.Win32.Pidief.hz
|
|
G-Data AVK 2009
|
Exploit.JS.PDF.B
|
|
Ikarus
|
Trojan-Downloader.Win32.Small.c
|
|
K7 Computing
|
---
|
|
Exploit.Win32.Pidief.hz
|
|
|
---
|
|
|
Exploit:JS/ShellCode.C
|
|
|
Nod32
|
PDF/Exploit.Pidief.NCK trojan
|
|
Norman
|
---
|
|
---
|
|
|
QuickHeal
|
---
|
|
Rising AV
|
---
|
|
SecureWeb-Gateway
|
Script.Shellcode.Gen
|
|
Sophos
|
---
|
|
Spybot S&D
|
---
|
|
Sunbelt
|
---
|
|
Bloodhound.Exploit.196
|
|
|
Trend Micro
|
TROJ_PIDIEF.BC
|
|
VBA32
|
---
|
|
VirusBuster
|
---
|
Quelle: AV-Test , Stand: 25.09.08, 14:30 Uhr