EXE im PDF

Erster Schädling nutzt PDF-Nicht-Lücke

Wie nicht anders zu erwarten, nutzen Malware-Spammer die Möglichkeit EXE-Dateien aus PDF-Dokumenten heraus zu starten inzwischen aus. Das erste Beispiel macht bereits die Runde, weitere dürften bald folgen.

Vor kaum zwei Wochen ist eine problematische Eigenschaft von PDF-Dateien bekannt geworden, die es (ohne eine Sicherheitslücke im PDF-Betrachter zu nutzen) ermöglicht eingebettete EXE-Dateien zu starten. Jetzt ist das erste Trojanische Pferd aufgetaucht, das diese Designschwäche in der PDF-Spezifikation ausnutzt, um den Rechner zu infizieren.

Der belgische Sicherheitsforscher Didier Stevens hatte diesen PDF-Angriff bekannter gemacht, ohne jedoch alle Details zu veröffentlichen. Offenbar genügten die Informationen jedoch, um die Angriffsmöglichkeit nachzuvollziehen und nutzbar zu machen. Der britische Antivirushersteller Sophos meldet nun die Entdeckung des ersten Schädlings, der auf diesem Wege eingeschleust werden soll.

Der Schädling kann zum Beispiel als PDF-Datei im Anhang einer Mail herein kommen. Wird diese Datei im Adobe Reader geöffnet, erscheint eine Dialogbox, die als Warnung gedacht ist. Der Programmierer des Schädlings hat jedoch die von Stevens angedeutete Möglichkeit genutzt, den angezeigten Hinweistext zu manipulieren. Dieser besagt nun (Tippfehler eingeschlossen), die Datei sei beschädigt. Um sie zu reparieren, möge man auf "Open" klicken. Folgt der Anwender diesem Hinweis, wird eine Datei ActiveX.exe im System32-Verzeichnis von Windows abgelegt und gestartet.

Bereits in der letzten Woche hatte Jeremy Conway demonstriert, dass die Designschwäche der PDF-Spezifikation die Erstellung eines Wurms ermöglicht, der vorhandene PDF-Dateien infizieren kann. Adobe will heute Sicherheits-Updates für Adobe Reader und Acrobat veröffentlichen. (PC Welt/mje)