Seit einiger Zeit ist auch einer breiteren Öffentlichkeit bekannt, dass PDF-Dokumente Programme starten können, ohne eine Sicherheitslücke im Adobe Reader oder in einem anderen PDF-Betrachter auszunutzen. Malware, die diese Möglichkeit nutzt, gibt es seitdem ebenfalls. Das jüngste Beispiel sind per Mail verbreitete PDF-Dateien, die einen Autorun-Wurm und ein Rootkit enthalten.
Die Mails werden Spam-artig verschickt und kommen mit einem Betreff wie "Setting for your mailbox are changed" sowie gefälschten Absenderangaben. Die angegebene Absenderadresse ist identisch mit der des Empfängers oder entstammt zumindest der gleichen Domain. Im Text heißt es, die Einstellung der Mailbox seien geändert worden und die beigefügte Datei enthalte Anweisungen, die der Empfänger sorgfältig lesen möge.
Der Anhang besteht aus einer etwa 250 KB großen PDF-Datei namens "doc.pdf", deren einziger Textinhalt der Dateiname "Important Information doc.pdf" ist. Wird sie im Adobe Reader geöffnet, zeigt dieser einen Dialog an, der auf das Starten einer Datei hinweist. Der Texthinweis ist vom Malware-Programmierer manipuliert.
Ansonsten besteht die Datei aus gänzlich ungetarntem VBScript-Code. Dieser konvertiert eine lange Folge kodierter Zeichen und schreibt neben zwei VBS-Hilfsscripten (script.vbs, batschript.vbs) eine Programmdatei namens "game.exe" in das TMP-Verzeichnis, die dann ausgeführt wird. Ihr Binär-Code besteht aus den konvertierten Zeichen. Alle drei Dateien werden nach Gebrauch gleich wieder gelöscht.
Wurm und Rootkit
Diese EXE-Datei ist nach Angaben von Trend Micro ein Wurm, der seinerseits ein Rootkit ablegt - wohl um sich zu tarnen. Dieses Rootkit steckt in der Datei bp.sys, die als Windows-Dienst registriert wird, um bei jedem Windows-Start automatisch geladen zu werden. Unter Windows 7 und Vista soll der Schädling laut Trend Micro nicht funktionieren.
Der Wurm verbreitet sich über Wechselmedien wie USB-Sticks, legt auf diesen eine Datei \autorun.inf an. Diese soll eine Kopie des Wurms starten, sobald das infizierte Medium angeschlossen und ins Dateisystem eingehängt wird. Der Wurm nimmt außerdem Kontakt zu einem Server im Internet auf, um weitere Malware herunter zu laden.
Die Erkennung der Malware durch Antivirusprogramme war anfanfs noch marginal, hat sich jedoch seitdem deutlich verbessert.
|
Antivirus |
Malware-Name (doc.pdf) |
Malware-Name (game.exe) |
|
AntiVir |
EXP/Pidief.blo |
TR/Spy.Bezopi.A |
|
Authentium |
PDF/Autorun.B!Camelot |
--- |
|
Avast |
PDF:Risk-A [Susp] |
Win32:Malware-gen |
|
AVG |
Generic2_c.AAYG (Trojan horse) |
SHeur3.TZR (Trojan horse) |
|
Bitdefender |
--- |
--- |
|
CA-AV |
PDF/Pidief.QL |
Win32/Emold.AH |
|
ClamAV |
PDF.Dropper-3 |
--- |
|
Dr.Web |
--- |
--- |
|
Eset Nod32 |
--- |
Win32/AutoRun.FakeAlert.DU worm |
|
Fortinet |
PDF/Pidief.BV!exploit |
W32/Agent.DJBN!tr |
|
F-Prot |
PDF/Pidief.BV |
--- |
|
F-Secure |
Exploit:W32/AdobeReader.WM |
Trojan-Downloader:W32/Agent.DJBN |
|
G Data |
PDF:Risk-A [Susp] |
Win32:Malware-gen |
|
Ikarus |
Exploit.JS.PDF |
Trojan.Win32.Agent |
|
K7 Computing |
--- |
--- |
|
Kaspersky |
Exploit.Win32.Pidief.dcd |
Worm.Win32.Bezopi.zl |
|
McAfee |
--- (Exploit-PDF.b)* |
--- (W32/Autorun.worm.bx)* |
|
McAfee Artemis |
--- |
--- |
|
McAfee GW Edition |
Exploit.Pidief.blo |
Trojan.Spy.Bezopi.A |
|
Microsoft |
TrojanDropper:Win32/Pidrop.A |
TrojanDropper:Win32/Emold.C |
|
Norman |
--- |
--- |
|
Panda |
--- |
--- |
|
Panda (Online) |
--- |
--- |
|
PC Tools |
--- |
--- |
|
QuickHeal |
--- |
--- |
|
Rising AV |
--- |
--- |
|
Sophos |
Troj/PDFEx-DF |
Troj/Agent-NCS |
|
Spybot S&D |
--- |
--- |
|
Sunbelt |
--- |
Trojan.Win32.Generic!BT |
|
Symantec |
Trojan.Pidief |
Packed.Cupx!gen5 |
|
Trend Micro |
TROJ_PIDIEF.ZAC |
WORM_EMOTI.A |
|
VBA32 |
--- |
--- |
|
VirusBuster |
--- |
--- |
|
Webroot |
Troj/PDFEx-DF |
Troj/Agent-NCS |
Quelle: AV-Test; Stand: 28.04.2010, 13:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten. (PC-Welt) (wl)