Dokumenty PDF rozprowadzają robaka w Windows

Producenci programów antywirusowych informują o wielu próbach podejmowanych przez cyberprzestępców, które mają na celu zainfekowanie komputerów z Windows malware'em za pomocą spreparowanych dokumentów PDF. Zupełnie niedawno w Sieci krążyły dokumenty zawierające bota ZeuS, teraz siedzi w nich robak.

Dokumenty PDF rozprowadzają robaka w Windows

Producenci programów antywirusowych informują o wielu próbach podejmowanych przez cyberprzestępców, które mają na celu zainfekowanie komputerów z Windows malware'em za pomocą spreparowanych dokumentów PDF. Zupełnie niedawno w Sieci krążyły dokumenty zawierające bota ZeuS, teraz siedzi w nich robak.

Problem

Używając funkcji Launch Actions/Launch File, dokumenty PDF mogą uruchamiać osadzone w nich skrypty albo pliki EXE. Adobe Reader wprawdzie pyta użytkownika, czy ten zgadza się na start programu, ale elementy okna dialogowego da się uformować w taki sposób, że nie wzbudzą one żadnych podejrzeń, że na komputerze dzieje się coś niepożądanego.

Obraz

Zagrożenie

Obecnie między innymi X-Force, dział firmy IBM, donosi o zalewie spamowych e-maili, które udają, że zawierają wskazówki do konfiguracji na nowo konta pocztowego: "Setting for your mailbox are changed". Adobe Reader wprawdzie pokazuje ostrzeżenie w momencie otwierania dołączonego do tych e-maili pliku PDF, ale użytkownicy prawdopodobnie nie dostrzegą niczego szczególnego w niegroźnym komunikacie "Click the »open«. button to view this document" i bez wahania klikną "OK". Jednak w wyniku tak wyrażonej zgody PDF wykonuje skrypt VBScript, który zapisuje i uruchamia na komputerze program game.exe.

Ten ostatni zawiera robaka Win32/Auraax. Auraax instaluje dodatkowo rootkita, a następnie usiłuje przenieść się na podłączone nośniki pamięci takie jak USB.

Ochrona

Wprawdzie większość programów antywirusowych rozpoznaje "szkodnika", ale lepiej być mądrym i przezornym przed szkodą. Dlatego też dobrym pomysłem jest wybranie w menu Readera Edycja | Preferencje | Menedżer zaufania, a następnie odznaczenie pola Pozwól na otwieranie załączników w innym formacie niż PDF za pomocą aplikacji zewnętrznych –. w standardowej konfiguracji jest ona aktywowana.

Zasadniczo na tego typu ataki podatny jest także Foxit Reader, który również ostrzega przed otworzeniem pliku, ale nie ma w nim opcji pozwalającej na wyłączenie uruchamiania.

Rozwiązanie

Ze względu na okno dialogowe w czytniku Adobe nie klasyfikuje tego problemu jako krytyczny. Zdaniem producenta jest to użyteczna funkcja, która staje się problemem jedynie w wyniku niewłaściwego wykorzystania.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie

USA mają dość Rosji. Potężny zapas broni dla Ukrainy w drodze
USA mają dość Rosji. Potężny zapas broni dla Ukrainy w drodze
Ewakuacja kolosa. Po starcie z Kijowa Rusłan odleciał w stronę Polski
Ewakuacja kolosa. Po starcie z Kijowa Rusłan odleciał w stronę Polski
Kapsuła z Polakiem nad krajem. Ostatnia szansa, by zobaczyć
Kapsuła z Polakiem nad krajem. Ostatnia szansa, by zobaczyć
Rosyjskie bazy lotnicze wciąż w chaosie. To efekt operacji "Pajęczyna"
Rosyjskie bazy lotnicze wciąż w chaosie. To efekt operacji "Pajęczyna"
Eksportują coraz więcej broni. Polska stała się ich głównym klientem
Eksportują coraz więcej broni. Polska stała się ich głównym klientem
Tajna misja SpaceX. Co rakieta wyniosła na orbitę?
Tajna misja SpaceX. Co rakieta wyniosła na orbitę?
Przewaga dzięki technice. Niemiecki PzH 2000 kontra rosyjska haubica
Przewaga dzięki technice. Niemiecki PzH 2000 kontra rosyjska haubica
340 samolotów na złom? Za oceanem zmieniają plany
340 samolotów na złom? Za oceanem zmieniają plany
Rząd wyda 400 mln zł i "rozbroi" bomby ekologiczne. Celem rekultywacja
Rząd wyda 400 mln zł i "rozbroi" bomby ekologiczne. Celem rekultywacja
Prawda wyszła na jaw. USA ukrywały te straty przed światem
Prawda wyszła na jaw. USA ukrywały te straty przed światem
Wiele razy pomogli Ukrainie. Teraz stanowczo odmówili
Wiele razy pomogli Ukrainie. Teraz stanowczo odmówili
Polak wraca z kosmosu. Załoga odłączyła się od ISS
Polak wraca z kosmosu. Załoga odłączyła się od ISS