PDF-Dokumente verteilen Windows-Wurm
Spam-Mails enthalten eine vorgebliche Anleitung zur Neukonfiguration des Mailkontos. Das angefügte PDF-Dokument installiert beim Öffnen jedoch einen Wurm und ein Rootkit.
- Daniel Bachfeld
Antivirenhersteller berichten von weiteren Versuchen Krimineller, mit präparierten PDF-Dokumenten Windows-PCs mit Malware zu infizieren. Erst kürzlich waren Dokumente mit dem ZeuS-Bot verteilt worden, nun steckt ein Wurm drin.
Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes.
Aktuell berichtet unter anderem IBMs X-Force von Spam-Mails, die vorgeben, eine Anleitung zur Neukonfiguration des Mailkontos zu enthalten:"Setting for your mailbox are changed." Der Adobe Reader zeigt zwar eine Warnung beim Öffnen des beigefügten PDF-Dokumente an, allerdings dürften Anwender ihr Augenmerk nur auf den harmlosen Hinweis "Click the "open" button to view this document" richten und arglos "OK" klicken. Das führt jedoch dazu, dass das PDF ein VBScript ausführt, dass die Datei game.exe auf den Rechner schreibt und startet.
Die Datei enthält den Wurm Win32/Auraax. Auraax installiert auch noch ein Rootkit und versucht sich im Anschluss auf angeschlossene Speichermedien wie USB-Sticks zu schreiben. Zwar erkennen die meisten Antivirenprogramme den Schädling, Vorsorge ist aber besser als Nachsorge. Deshalb empfiehlt es sich, im Reader unter Bearbeiten/Voreinstellungen/Berechtigungen die Option – "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" – zu deaktivieren, standardmäßig ist sie aktiviert. Grundsätzlich ist auch der Foxit-Reader für solche Angriffe anfällig. Der warnt zwar auch, eine Option zum Abschalten der Launch-Funktion gibt es aber nicht.
Adobe selbst stuft das Sicherheitsproblem aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde.
Siehe dazu auch:
- Kriminelle versuchen ungepatchte Reader-Lücke auszunutzen
- Offizieller Workaround von Adobe für PDF-Lücke
- Neue Foxit-Version schließt Executable-Sicherheitslücke
- PDF-Exploit funktioniert ohne konkrete Sicherheitslücke
(dab)
