Trojanische PDFs - der (un)glückliche Weg eines Tools

Ein Mo­ment der Ge­dan­ken­lo­sig­keit, und schon sind Mo­na­te der Ar­beit für die Katz. Das gilt auch für Spio­na­ge­krei­se. Vor ein paar Tagen wun­der­te sich f-se­cu­re über ei­ni­ge PDFs, die ihnen über einen On­line-Scan­ner zum Tes­ten zu­ge­sandt wur­den. Beim Öff­nen des ers­ten PDFs zeig­te der Ar­co­bat Re­a­der zwar ein PDF an, im Hin­ter­grund nis­te­te sich zeit­gleich eine Hin­ter­tür ein. Die Hin­ter­tür ver­such­te, mit einem Rech­ner in China Kon­takt auf­zu­neh­men. Die ei­gent­li­che Über­ra­schung be­fand sich in einem wei­te­ren PDF-File: Die Pay­load war... das Pro­gramm zum Er­zeu­gen sol­cher tro­ja­ni­scher PDF-Da­tei­en!
Of­fen­sicht­lich hatte je­mand "mal kurz" einen Test ge­macht, "ir­gend­ei­ne" na­he­lie­gen­de Datei mit einem PDF ver­bun­den und das ganze pro­be­hal­ber an einen On­line-Scan­ner über­ge­ben. Dabei hatte er mit "ir­gend­ei­ner" Datei dum­mer­wei­se den Ge­ne­ra­tor selbst er­wischt. Das Tool sieht durch­aus aus­ge­feilt aus, da steck­te si­cher ei­ni­ges an Ar­beit 'drin - und nun kön­nen die Vi­ren­scan­ner-Her­stel­ler ge­müt­lich pas­sen­de Si­gna­tu­ren dafür bauen.

Das Tool ist eben­falls auf chi­ne­sisch... ir­gend­je­mand in China wird für diese Ak­ti­on si­cher tüch­tig Prü­gel be­zie­hen ;-)

(via Fefes Blog)