PDF-fájlokból kell kihámozni ezt a károkozót

Víruskutatók egy olyan trükkre hívták fel a figyelmet, amely PDF-dokumentumokkal történő károkozásokra ad lehetőséget.
 
hirdetés

A vírusírók arra törekszenek, hogy a kártékony kódjaikat minél jobban, minél hosszabb ideig tudják elrejteni a biztonsági szoftverek elől. Ennek érdekben folyamatosan újabb és újabb technikákat dolgoznak ki, amik sajnos nem egyszer be is válnak számukra. Ezekben az esetekben szokott az szerepelni a víruselemzők írásaiban, hogy már több hónapja vagy akár több éve aktív lehet az adott kártékony program, miközben az senkinek és semminek nem szúrt szemet.
 
Rejtett vírusok
 
A vírusterjesztésben is komoly szerep hárul a szteganográfiára, mivel ezzel rejthetővé válhatnak a nemkívánatos kódok. Az EdgeSpot szakemberei pontosan egy ilyen technikát lepleztek le, és egyben gyorsan fel is hívták a figyelmet a kockázatokra.
 
A leleplezett módszer igencsak kifinomult, amit az is jelez, hogy - mint az a vizsgálatok során kiderült - már 2017-ben is szerephez juthatott támadásokban. Az első ilyen jellegű kódot ugyanis ekkor töltötte fel valaki a VirusTotalra. Az igazán elgondolkodtató, hogy az antivírus technológiák azóta sem tudták felvenni vele a küzdelmet: a múlt héten a kódot mindössze egy víruskereső tekintette gyanúsnak.
 
Egy PDF, semmi más
 
A trükk lényegében PDF-es visszaélésekre épül. A vírusterjesztők JavaScript kódokat igyekeznek elrejteni, amelyeket aztán további kódfuttatási célokra használnak fel. A szóban forgó esetben a getIcon() és az iconStreamFromIcon() PDF JS API-k kapnak szerepet, és néhány beágyazott kép. Ezek a PDF-dokumentum megnyitásakor teljesen szokványos módon jelennek meg, semmiféle jele nincs annak, hogy a háttérben ártalmas összetevők duruzsolnának. Pedig sajnos ez a helyzet, mivel a dokumentum megnyitásakor a rejtett kódok az eval() függvény segítségével szépen sorban lefutnak. Egyben pedig különféle PDF-es sérülékenységek kihasználására is sor kerül.
 
A vizsgálatok szerint a módszer kidolgozói nem a nulláról kezdték a fejlesztéseket, mivel kihasználták a nyílt forráskódú, steganography.js projekt adta lehetőségeket is. Ezt a kódot módosították úgy, hogy az ne csak webböngészőkben legyen működőképes, hanem PDF-dokumentumokban is felhasználhatóvá váljon.
 
Az EdgeSpot szakértői arra kérték a víruskeresőket fejlesztő cégeket, hogy fordítsanak nagyobb figyelmet e jelenségre, és tegyék meg a szükséges lépéseket a detektálási hatékonyság növelése érdekében.
Vélemények
 
  1. 4

    A VirtualBoxhoz fontos hibajavítások váltak letölthetővé.

  2. 3

    A Comodo Antivirus esetében több biztonsági rés vár befoltozásra.

  3. 1

    A Fenkrib trójai nem közvetlenül okoz károkat a számítógépeken, hanem azon ártalmas programok révén, amelyeket letölt a PC-kre.

 
Partnerhírek
​Vírusok ihlette művészeti kiállítás nyílt Rotterdamban

Ha az elkövetkező időszakban Hollandiában, közelebbről Rotterdamban jártok, akkor feltétlenül keressétek fel a nem túl szokványos művészeti kiállítást, ahol a legrégebbi vírusok ihlette művészeti alkotásokban gyönyörködhetünk.

Windows sérülékenységet kihasználó kártevő a láthatáron

​Az ESET szakemberei nemrégiben fedeztek fel és elemeztek egy új 0-day sebezhetőséget kihasználó programot (exploit), amely kelet-európai célpontok ellen irányult.

hirdetés
Közösség
1