Dokumenty PDF rozprowadzają robaka w Windows

Producenci programów antywirusowych informują o wielu próbach podejmowanych przez cyberprzestępców, które mają na celu zainfekowanie komputerów z Windows malware'em za pomocą spreparowanych dokumentów PDF. Zupełnie niedawno w Sieci krążyły dokumenty zawierające bota ZeuS, teraz siedzi w nich robak.

Producenci programów antywirusowych informują o wielu próbach podejmowanych przez cyberprzestępców, które mają na celu zainfekowanie komputerów z Windows malware'em za pomocą spreparowanych dokumentów PDF. Zupełnie niedawno w Sieci krążyły dokumenty zawierające bota ZeuS, teraz siedzi w nich robak.

Używając funkcji Launch Actions/Launch File, dokumenty PDF mogą uruchamiać osadzone w nich skrypty albo pliki EXE. Adobe Reader wprawdzie pyta użytkownika, czy ten zgadza się na start programu, ale elementy okna dialogowego da się uformować w taki sposób, że nie wzbudzą one żadnych podejrzeń, że na komputerze dzieje się coś niepożądanego.

Obecnie między innymi X-Force, dział firmy IBM, donosi o zalewie spamowych e-maili, które udają, że zawierają wskazówki do konfiguracji na nowo konta pocztowego: "Setting for your mailbox are changed". Adobe Reader wprawdzie pokazuje ostrzeżenie w momencie otwierania dołączonego do tych e-maili pliku PDF, ale użytkownicy prawdopodobnie nie dostrzegą niczego szczególnego w niegroźnym komunikacie "Click the »open«. button to view this document" i bez wahania klikną "OK". Jednak w wyniku tak wyrażonej zgody PDF wykonuje skrypt VBScript, który zapisuje i uruchamia na komputerze program game.exe.

Ten ostatni zawiera robaka Win32/Auraax. Auraax instaluje dodatkowo rootkita, a następnie usiłuje przenieść się na podłączone nośniki pamięci takie jak USB.

Wprawdzie większość programów antywirusowych rozpoznaje "szkodnika", ale lepiej być mądrym i przezornym przed szkodą. Dlatego też dobrym pomysłem jest wybranie w menu Readera Edycja | Preferencje | Menedżer zaufania, a następnie odznaczenie pola Pozwól na otwieranie załączników w innym formacie niż PDF za pomocą aplikacji zewnętrznych –. w standardowej konfiguracji jest ona aktywowana.

Zasadniczo na tego typu ataki podatny jest także Foxit Reader, który również ostrzega przed otworzeniem pliku, ale nie ma w nim opcji pozwalającej na wyłączenie uruchamiania.

Ze względu na okno dialogowe w czytniku Adobe nie klasyfikuje tego problemu jako krytyczny. Zdaniem producenta jest to użyteczna funkcja, która staje się problemem jedynie w wyniku niewłaściwego wykorzystania.

wydanie internetowe www.heise-online.pl