PDF-Attacke ködert mit Fußball-WM

Die Folgen eines Angriffs

Hätte das Opfer die Mail erhalten und mit einem anfälligen Adobe Reader geöffnet, wäre im TIFF-Bild enthaltener Code ausgeführt worden. Dieser hätte EXE-Dateien auf der Festplatte abgelegt und ausgeführt. Dieser Schädling führt zunächst eine DNS-Abfrage aus - möglicherweise, um festzustellen, ob eine Internet-Verbindung besteht.

Dann legt er für jede im Verzeichnis C:\Windows\system32 gefundene Datei ein gleichnamiges Unterverzeichnis an und darin zwei Dateien namens "notepad.exe.new" und "notepad.exe" ab. Außerdem legt er die Dateien "pcidump.sys" in C:\Windows\system32\drivers\ und "mpvps.dll" in C:\Programme\Windows Media Player ab. Erstere ist ein Rootkit, das zur Tarnung dient. Letztere wird als Dienst namens "Remote Access Connection Locator" registriert. Der Schädling sucht auch Kontakt zu Rechnern im lokalen Netz, vermutlich um sich weiter zu verbreiten.

Im Erfolgsfall kann so ein maßgeschneiderter Schädling, der oft nicht vor Antivirusprogrammen erkannt wird, vertrauliche Daten ausspähen, Schaden im Unternehmensnetzwerk anrichten und im Namen des Opfers Kontakt mit weiteren Personen im Unternehmen aufnehmen. Entdeckt wurde der Angriff durch spezielle Filter, die Charakteristika der schädlichen PDF-Datei erkannt haben.

Untersuchungen haben gezeigt, dass Unternehmen bei den Sicherheits-Updates für Anwendungen wie den Adobe Reader oft recht nachlässig sind. Das nutzen die Täter aus, um etwa Industriespionage zu betreiben. Aber auch Regierungsstellen wie Ministerien, Behörden oder Botschaften können Ziel solcher Angriffe sein. (PC Welt/mje)