Ártalmas PDF-fájlok rázták át a víruskeresőket

Kristóf Csaba
2011. május 4., 09:00
Nyomtatás
Biztonsági kutatók egy olyan PDF-alapú fenyegetettségre lettek figyelmesek, amely megjelenésekor a legtöbb víruskeresőt sikeresen tévesztette meg.

Elsőként az Avast valamint a Sophos kutatói vették észre, hogy egy bizonyos típusú PDF-dokumentummal valami nincs rendben. Annak ellenére, hogy az állomány látszólag nem próbált kihasználni egyetlen Adobe sérülékenységet sem, és nem tartalmazott jól felismerhető exploit kódot, a valóságban mégis alkalmas volt arra, hogy az Adobe Reader és Acrobat alkalmazásokon keresztül veszélyeztesse a számítógépeket.

A kutatók megállapították, hogy a szóban forgó PDF-állományban egy olyan exploitot sikerült elrejteniük a készítőknek, amelyet a víruskeresők legfeljebb csak akkor tudtak felismerni, amikor a felhasználó már megnyitotta az állományt. A káros fájl terjesztőinek trükkje egy meglehetősen kifinomult technikára épült, melynek lényege, hogy a sérülékenység kihasználására alkalmas kódot tulajdonképpen egy PDF-fájlba ágyazott, speciálisan szerkesztett TIFF-formátumú képbe rejtették el. Amikor ezt az Adobe Reader és Acrobat alkalmazások régebbi verziói megjelenítették, akkor kártékony kódok is lefuthattak az érintett rendszereken. Mivel egy TIFF-kódban volt megtalálható az exploit, ezért az Avast rendszere is csak úgy tudta detektálni azt, hogy a szokásos szövegalapú analízisek mellett egy nemkívánatos képek felismerésére alkalmas szűrő is besegített.

Az ártalmas PDF-dokumentumot a biztonsági szakértők e-mailek mellékletében találták. Ezeket a küldeményeket megrendelés-visszaigazolásnak álcázták a támadók. A PDF-állomány fájlneve pedig egy nem létező megrendelésszámot tartalmazott. Amikor ezt a fájlt a felhasználó megnyitotta, akkor a számítógépére SpyEye, ZBot vagy FakeAV nevű kártékony programok kerülhettek, amelyeket a támadók kémkedésre, botnetek bővítésére valamint hamis víruskeresők terjesztésére használhattak fel.

Kockázatcsökkentő tényezők

Szerencsére a mostani, PDF-alapú támadások nem okoztak jelentős károkat, és nem voltak széles körben jelen. Elsősorban célzott módon következtek be, és kizárólag az Adobe Reader valamint Acrobat szoftverek 8.1.1-es és 9.3-as, illetve az ennél régebbi kiadások esetében tudtak problémákat előidézni. Ennek oka, hogy a háttérben kihasznált sérülékenységet a fejlesztők már több mint egy évvel ezelőtt megszüntették, ezért most is a nem megfelelően frissített Adobe alkalmazások kerültek célkeresztbe. Bebizonyosodott, hogy a kártékony fájlok egyéb PDF-kezelő szoftverek kapcsán nem jelentettek veszélyt, így többek között a Chrome böngésző beépített PDF-megjelenítő komponensével is biztonságosan lehetett megnyitni azokat.

Az Avast és a Sophos által közétett információk után a többi biztonsági cég is meghozta azokat az intézkedéseket, amelyek révén mostanra az összes fejlett víruskereső képes kiszűrni az ilyen típusú, ártalmas PDF-állományokat.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

1 hozzászólás

  1. Cívis Júzer írta:
    2011-05-04 13:17:45

    Rafkós megoldás! ;-)

ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.