Trojanische PDFs - der (un)glückliche Weg eines Tools

Ein Moment der Gedankenlosigkeit, und schon sind Monate der Arbeit für die Katz. Das gilt auch für Spionagekreise. Vor ein paar Tagen wunderte sich f-secure über einige PDFs, die ihnen über einen Online-Scanner zum Testen zugesandt wurden. Beim Öffnen des ersten PDFs zeigte der Arcobat Reader zwar ein PDF an, im Hintergrund nistete sich zeitgleich eine Hintertür ein. Die Hintertür versuchte, mit einem Rechner in China Kontakt aufzunehmen. Die eigentliche Überraschung befand sich in einem weiteren PDF-File: Die Payload war... das Programm zum Erzeugen solcher trojanischer PDF-Dateien!
Offensichtlich hatte jemand "mal kurz" einen Test gemacht, "irgendeine" naheliegende Datei mit einem PDF verbunden und das ganze probehalber an einen Online-Scanner übergeben. Dabei hatte er mit "irgendeiner" Datei dummerweise den Generator selbst erwischt. Das Tool sieht durchaus ausgefeilt aus, da steckte sicher einiges an Arbeit 'drin - und nun können die Virenscanner-Hersteller gemütlich passende Signaturen dafür bauen.

Das Tool ist ebenfalls auf chinesisch... irgendjemand in China wird für diese Aktion sicher tüchtig Prügel beziehen ;-)

(via Fefes Blog)