Mittwoch, 5. November 2008

Avira warnt vor polymorphen Schädlings-PDFs

Die Virenanalysten des deutschen IT-Sicherheitsunternehmens Avira warnen vor weiterentwickelten Exploit-Kits, die polymorphe Schädlings-PDF-Dateien erzeugen. Damit versuchen die Cyberkriminellen, einfachen Erkennungsmechanismen auf Basis von Prüfsummen oder Dateigröße zu entgehen

Tettnang, 5. November 2008 – Aviras Sicherheitsexperten haben die von den aktuellen Exploit-Kits mit dem Namen El-Fiesta erzeugten infektiösen PDF-Dateien analysiert und die Erkennungsdatei angepasst. Die Schutzlösungen des deutschen Herstellers können damit die ständig veränderten Schädlings-PDFs aufspüren und blockieren.

ElFiesta

Die Schädlinge werden Internetnutzern mittels Drive-by-Download untergeschoben. Dazu hacken die kriminellen Drahtzieher harmlose Webseiten und binden darin eine Verknüpfung zu ihrem Exploit-Kit wie El-Fiesta ein. Das Exploit-Kit sucht auf dem Rechner des potenziellen Opfers nach Sicherheitslücken in der installierten Software, um das Sicherheitsleck dann gezielt zu missbrauchen.

Die infektiösen PDF-Dateien nutzen eine länger bekannte Sicherheitslücke in Adobe Reader 8.1.1 und älteren Versionen aus, die in der Datenbank von Common Vulnerabilities and Exposures unter dem Namen CVE-2007-5659 geführt wird. Es handelt sich dabei um Pufferüberläufe beim Verarbeiten überlanger Argumente in JavaScript-Funktionen. Provoziert ein JavaScript in einem PDF-Dokument so einen Pufferüberlauf, kann es fremden Programmcode in den Speicher schreiben, der anschließend vom System ausgeführt wird – etwa einen Trojaner.

Um sich zu schützen, sollten Anwender ihr Betriebssystem, die Antivirensoftware und die installierten Programme stets auf dem aktuellen Stand halten. Adobe hält seit heute das Update auf Adobe Reader Version 8.1.3 bereit, das die Sicherheitslücke nicht mehr enthält, die die Schädlings-PDFs zur Infektion des Systems ausnutzen; Version 9 des Adobe Reader ist dafür ebenfalls nicht anfällig.

Aviras Sicherheitsexperten haben die polymorphen PDF-Schädlinge genauer analysiert, um einen Schutz durch neue Erkennungsmechanismen zu entwickeln.

Polymorph

Die vom Exploit-Kit erzeugten PDF-Schädlinge unterscheiden sich bei jedem Download in ihrer Größe und haben eine andere MD5-Checksumme. Das enthaltene JavaScript ist gepackt und verschlüsselt und auch nach dem Entpacken noch mehrfach verschleiert.

Referenztabelle

Auffällig an den polymorphen PDFs: Die Dateien enthalten allesamt dasselbe Inhaltsverzeichnis, das sogenannte xref table – zudem sind alle Zeitangaben und Offset-Angaben identisch. Aviras Analysten gehen davon aus, dass die kriminellen Drahtzieher ein Standard-PDF-Dokument erstellt haben und darin bei der Auslieferung die jeweils einzigartigen verschleierten Objekte einbetten. Das ist möglich, da Adobe Reader das defekte xref table repariert, indem der Reader das Dokument nach den Object-Markierungen durchsucht und die korrekten Daten nutzt – so wird das PDF-Dokument angezeigt und das bösartige JavaScript ausgeführt.

Die Schädlingsbastler können das sehr einfach implementieren – nach betriebswirtschaftlichen Kriterien sinnvoll: Wenig Aufwand mit großem Nutzen. Mehr Aufwand betreiben sie erst, wenn die erzeugten Dokumente von zu vielen Antivirenprodukten erkannt werden.

Über Avira

Avira schützt Menschen in der vernetzten Welt ‒ und gibt allen die Möglichkeit, ihr digitales Leben zu verwalten, zu schützen und zu optimieren. Aviras Angebot erstreckt sich auf ein Portfolio aus Sicherheits- und Leistungsanwendungen für Windows, Android, Mac und iOS. Unsere Schutztechnologien ergänzen wir außerdem durch OEM-Partnerschaften. Immer wieder stehen unsere Sicherheitslösungen an der Spitze von unabhängigen Tests zur Erkennung, Leistung und Benutzerfreundlichkeit. Avira ist ein Unternehmen in Familienbesitz mit 500 Mitarbeitern. Hauptsitz ist Tettnang am Bodensee mit weiteren Niederlassungen in Rumänien, Indien, Singapur, China, Japan und den USA. Ein Teil der Einnahmen von Avira kommt der Auerbach Stiftung zugute, die Bildungsinitiativen sowie Kinder und Familien in Not unterstützt. Weitere Informationen zu Avira finden Sie unter www.avira.de