PDF-Angriff per Mail Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.04.2010 Frank Ziemann*

PDF-Angriff per Mail

Spam-artig verbreitete Mails enthalten eine PDF-Datei, die beim Öffnen einen Wurm ablegt und ausführt. Dazu wird eine in der PDF-Spezifikation vorgesehene Funktion ausgenutzt, keine Sicherheitslücke einer Software.

Seit einiger Zeit ist auch einer breiteren Öffentlichkeit bekannt, dass PDF-Dokumente Programme starten können, ohne eine Sicherheitslücke im Adobe Reader oder in einem anderen PDF-Betrachter auszunutzen. Malware, die diese Möglichkeit nutzt, gibt es seitdem ebenfalls. Das jüngste Beispiel sind per Mail verbreitete PDF-Dateien, die einen Autorun-Wurm und ein Rootkit enthalten.

Die Mails werden Spam-artig verschickt und kommen mit einem Betreff wie "Setting for your mailbox are changed" sowie gefälschten Absenderangaben. Die angegebene Absenderadresse ist identisch mit der des Empfängers oder entstammt zumindest der gleichen Domain. Im Text heißt es, die Einstellung der Mailbox seien geändert worden und die beigefügte Datei enthalte Anweisungen, die der Empfänger sorgfältig lesen möge.

Der Anhang besteht aus einer etwa 250 KB großen PDF-Datei namens "doc.pdf", deren einziger Textinhalt der Dateiname "Important Information doc.pdf" ist. Wird sie im Adobe Reader geöffnet, zeigt dieser einen Dialog an, der auf das Starten einer Datei hinweist. Der Texthinweis ist vom Malware-Programmierer manipuliert.

Ansonsten besteht die Datei aus gänzlich ungetarntem VBScript-Code. Dieser konvertiert eine lange Folge kodierter Zeichen und schreibt neben zwei VBS-Hilfsscripten (script.vbs, batschript.vbs) eine Programmdatei namens "game.exe" in das TMP-Verzeichnis, die dann ausgeführt wird. Ihr Binär-Code besteht aus den konvertierten Zeichen. Alle drei Dateien werden nach Gebrauch gleich wieder gelöscht.

Diese EXE-Datei ist nach Angaben von Trend Micro ein Wurm, der seinerseits ein Rootkit ablegt - wohl um sich zu tarnen. Dieses Rootkit steckt in der Datei bp.sys, die als Windows-Dienst registriert wird, um bei jedem Windows-Start automatisch geladen zu werden. Unter Windows 7 und Vista soll der Schädling laut Trend Micro nicht funktionieren.

Der Wurm verbreitet sich über Wechselmedien wie USB-Sticks, legt auf diesen eine Datei autorun.inf an. Diese soll eine Kopie des Wurms starten, sobald das infizierte Medium angeschlossen und ins Dateisystem eingehängt wird. Der Wurm nimmt außerdem Kontakt zu einem Server im Internet auf, um weitere Malware herunter zu laden.

* Frabk Ziemann ist Redakteur der deutschen PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr

Hosted by:    Security Monitoring by: