03.05.2010, 14:46
Producenci programów antywirusowych informują o wielu próbach podejmowanych przez cyberprzestępców, które mają na celu zainfekowanie komputerów z Windows malware''em za pomocą spreparowanych dokumentów PDF. Zupełnie niedawno w Sieci krążyły dokumenty zawierające bota ZeuS, teraz siedzi w nich robak.
Używając funkcji Launch Actions/Launch File, dokumenty PDF mogą uruchamiać osadzone w nich skrypty albo pliki EXE. Adobe Reader wprawdzie pyta użytkownika, czy ten zgadza się na start programu, ale elementy okna dialogowego da się uformować w taki sposób, że nie wzbudzą one żadnych podejrzeń, że na komputerze dzieje się coś niepożądanego.
Zagrożenie
Obecnie między innymi X-Force, dział firmy IBM, donosi o zalewie spamowych e-maili, które udają, że zawierają wskazówki do konfiguracji na nowo konta pocztowego: "Setting for your mailbox are changed". Adobe Reader wprawdzie pokazuje ostrzeżenie w momencie otwierania dołączonego do tych e-maili pliku PDF, ale użytkownicy prawdopodobnie nie dostrzegą niczego szczególnego w niegroźnym komunikacie "Click the »open« button to view this document" i bez wahania klikną "OK". Jednak w wyniku tak wyrażonej zgody PDF wykonuje skrypt VBScript, który zapisuje i uruchamia na komputerze program game.exe.
Ten ostatni zawiera robaka Win32/Auraax. Auraax instaluje dodatkowo rootkita, a następnie usiłuje przenieść się na podłączone nośniki pamięci takie jak USB.
Ochrona
Wprawdzie większość programów antywirusowych rozpoznaje "szkodnika", ale lepiej być mądrym i przezornym przed szkodą. Dlatego też dobrym pomysłem jest wybranie w menu Readera Edycja | Preferencje | Menedżer zaufania, a następnie odznaczenie pola Pozwól na otwieranie załączników w innym formacie niż PDF za pomocą aplikacji zewnętrznych – w standardowej konfiguracji jest ona aktywowana.
Zasadniczo na tego typu ataki podatny jest także Foxit Reader, który również ostrzega przed otworzeniem pliku, ale nie ma w nim opcji pozwalającej na wyłączenie uruchamiania.
Rozwiązanie
Ze względu na okno dialogowe w czytniku Adobe nie klasyfikuje tego problemu jako krytyczny. Zdaniem producenta jest to użyteczna funkcja, która staje się problemem jedynie w wyniku niewłaściwego wykorzystania.
wydanie internetowe
Używając funkcji Launch Actions/Launch File, dokumenty PDF mogą uruchamiać osadzone w nich skrypty albo pliki EXE. Adobe Reader wprawdzie pyta użytkownika, czy ten zgadza się na start programu, ale elementy okna dialogowego da się uformować w taki sposób, że nie wzbudzą one żadnych podejrzeń, że na komputerze dzieje się coś niepożądanego.
Zagrożenie
Obecnie między innymi X-Force, dział firmy IBM, donosi o zalewie spamowych e-maili, które udają, że zawierają wskazówki do konfiguracji na nowo konta pocztowego: "Setting for your mailbox are changed". Adobe Reader wprawdzie pokazuje ostrzeżenie w momencie otwierania dołączonego do tych e-maili pliku PDF, ale użytkownicy prawdopodobnie nie dostrzegą niczego szczególnego w niegroźnym komunikacie "Click the »open« button to view this document" i bez wahania klikną "OK". Jednak w wyniku tak wyrażonej zgody PDF wykonuje skrypt VBScript, który zapisuje i uruchamia na komputerze program game.exe.
Ten ostatni zawiera robaka Win32/Auraax. Auraax instaluje dodatkowo rootkita, a następnie usiłuje przenieść się na podłączone nośniki pamięci takie jak USB.
Ochrona
Wprawdzie większość programów antywirusowych rozpoznaje "szkodnika", ale lepiej być mądrym i przezornym przed szkodą. Dlatego też dobrym pomysłem jest wybranie w menu Readera Edycja | Preferencje | Menedżer zaufania, a następnie odznaczenie pola Pozwól na otwieranie załączników w innym formacie niż PDF za pomocą aplikacji zewnętrznych – w standardowej konfiguracji jest ona aktywowana.
Zasadniczo na tego typu ataki podatny jest także Foxit Reader, który również ostrzega przed otworzeniem pliku, ale nie ma w nim opcji pozwalającej na wyłączenie uruchamiania.
Rozwiązanie
Ze względu na okno dialogowe w czytniku Adobe nie klasyfikuje tego problemu jako krytyczny. Zdaniem producenta jest to użyteczna funkcja, która staje się problemem jedynie w wyniku niewłaściwego wykorzystania.
wydanie internetowe
[Aby zobaczyć linki, zarejestruj się tutaj]
