Thema: PDF-Dokumente verteilen Windows-Wurm

Antivirenhersteller berichten von weiteren Versuchen Krimineller, mit präparierten PDF-Dokumenten Windows-PCs mit Malware zu infizieren.

Erst kürzlich waren Dokumente mit dem ZeuS-Bot verteilt worden, nun steckt ein Wurm drin.

Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes.

Aktuell berichtet unter anderem IBMs X-Force von Spam-Mails, die vorgeben, eine Anleitung zur Neukonfiguration des Mailkontos zu enthalten:"Setting for your mailbox are changed." Der Adobe Reader zeigt zwar eine Warnung beim Öffnen des beigefügten PDF-Dokumente an, allerdings dürften Anwender ihr Augenmerk nur auf den harmlosen Hinweis "Click the "open" button to view this document" richten und arglos "OK" klicken. Das führt jedoch dazu, dass das PDF ein VBScript ausführt, dass die Datei game.exe auf den Rechner schreibt und startet.
Die Datei enthält den Wurm Win32/Auraax. Auraax installiert auch noch ein Rootkit und versucht sich im Anschluss auf angeschlossene Speichermedien wie USB-Sticks zu schreiben. Zwar erkennen die meisten Antivirenprogramme den Schädling, Vorsorge ist aber besser als Nachsorge. Deshalb empfiehlt es sich, im Reader unter Bearbeiten/Voreinstellungen/Berechtigungen die Option – "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" – zu deaktivieren, standardmäßig ist sie aktiviert. Grundsätzlich ist auch der Foxit-Reader für solche Angriffe anfällig. Der warnt zwar auch, eine Option zum Abschalten der Launch-Funktion gibt es aber nicht.

Adobe selbst stuft das Sicherheitsproblem aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde.


Quelle: http://www.burning-out.de

Hallo Holger,
hast du eine Idee, wie man sich davor schützen kann?


LG Maxi

Der sicherste Schutz, keine pdf Dokumente öffnen!

Nee, Spass beiseite ....

1. Ein vernünftiges Antivierenprogramm, was auch Aktuell sein sollte (aktuelle Datenbank)

2. Firewall die vernünftig konfiguriert sein sollte

3. Betriebssystem auf dem aktuellen Stand halten

4. Keine Dateien öffnen, wo der Absender einen nicht bekannt ist

Hallo Holger,
Herzlichen Dank nochmal extra! Hoffentlich bleiben wir davon verschont. Ich hatte schon mal einen Virus, der meinen Rechner komplett lahm gelegt hat, muss ich nicht wieder haben, das war teuer!

LG Maxi

Einen 100%igen Schutz gibt es leider nicht!

Also Holzauge sei wachsam!

Ich hab das Spiel vor 1 1/2 Jahren erlebt, da wurde eine verseuchte pdf -Datei mittels einer Kettenmail verschickt, in der die Empfänger gebeten wurden, diese Mail an ihre gesamte Bekanntschaft zu verschicken.
Der Text in der Mail war ein unverfänglicher Scherz...
Zum Glück hatte ich damals vorher über "heise punkt de" über den Wurm gelesen und die Datei nicht angerührt!
Also auch bei Mails von Freunden ode Bekannten vorsichtig sein, wenn da pdfs dranhängen...

Gruß
Thomas