Berta Sándor

A kártevőkkel módosított PDF-fájlok veszélyesebbek, mint valaha

Egyre több támadásnál használnak az elkövetők módosított, kártevőkkel fertőzött PDF-fájlokat. Amikor ezeket valaki megnyitja, automatikusan letölti a számítógépére a vírusokat vagy éppen a kémprogramokat.

A McAfee és a Secunia elemzői is arra hívták fel a figyelmet, hogy a idei esztendőben nem a Microsoft, hanem az Adobe válhat az online támadások fő célpontjává. A decemberben bemutatott úgynevezett Zero-Day-Exploit valósággal sokkolta a szakértőket, mivel a segítségével egy szimpla PDF-fájl megnyitásával akár egy szerver feletti uralmat is meg lehetett szerezni. Az adatok ellopása pedig már csak hab volna a bizonyos tortán. Az Adobe akkori, december 15-én kiadott közleményét követő riadalom nem véletlen, hiszen jelenleg csak a vírusirtók alig 10 százaléka (!) képes felismerni egy PDF-fájlban megbúvó kártevőt. A cég éppen ezért kiadott egy frissítést az Acrobat Reader szoftveréhez.

Alighanem a Google is a biztonsági rést kihasználó akció áldozata lett, igaz erről a cég nem hajlandó gyakorlatilag semmit sem elárulni. A vállalat hivatalos blogjában célzott támadásról írt David Drummond. Emellett adathalászok megpróbálták megszerezni számos Google Mail-előfizető hozzáférési adatait, és 34 másik vállalattól akartak bizalmas információkat szerezni. Többségük a Szilícium-völgyben működő számítástechnikai cég, amelyek biztonsági rendszerét a New York Times információja szerint valószínűleg sikeresen feltörték, és belső céges adatokat, illetve szoftverkódokat emeltek el. A Google-t nem érte hasonló kár.

Az ilyen akciókat meglehetősen jól dokumentálták korábban. Elég csak a tavaly márciusban megjelentetett Tracking Ghostnet-jelentés vagy az Amerikai-Kínai gazdasági és Biztonsági felülvizsgálati Bizottságnak készített, Capability of the People's Republic of China to Conduct Cyber Warfare and Computer Network Exploitation című Northrop-tanulmányt említeni.

A probléma egyébként nem új, hiszen köztudomású, hogy a kártevőket egy a PDF-fájlokban található JPX-képben rejtik el. Az egyes csomagok rendkívül aprók, a méretük gyakran mindössze 38 bájt! A kód elsődleges feladata a kommunikáció. Egy úgynevezett pinggel jelzi a szerverének, hogy sikerült megfertőznie a célpontnak kiválasztott számítógépet, ezután letölt egy trójai férget. A Tracking Ghostnet-riportban 1295 olyan célzott akció szerepel, amelyeket tavaly hajtottak végre különböző cégek és intézmények ellen. Ez a szám is azt mutatja, hogy mielőbb megoldást kellene találni erre a biztonsági problémára, mert félő, hogy mire a cégek észbe kapnak, már túl késő lesz.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • nickwearby #22
    hát ez az,

    én is úgy állítottam be, hogy bármilyen ki-be menő kapcsolatra kérdezzen rá.

    Így szinte 100%-ban ki lehet küszöbölni a trójai meg hasonló vackokat.
  • amitakartok #21
    Nem igaz. Az sem nyújt tökéletes védelmet. Nekem is Firefox + Comodo van a gépen de nemrég mégis kétpercenként kérdezte a Firefox, hogy le akarok-e tölteni egy update[1].exét. Comodo persze nagyban hallgatott, a manuális ellenőrzés csak pár ártatlan keygenre riaszt be. Antivírus program csak olyasmire jó, ami NEM neten keresztül terjed (klasszikus, pendrive-on és LANon át terjedő vírus nemrég kiütötte a sulim hálózatát; itthon a Comodo azonnal kiszúrta ahogy bedugtam a pendrive-ot), a többieknek magasabb oktánszámú cucc kell (Malwarebytes' Anti-Malware + hálókábelt kihúz, ami már fent van azt simán kinyírja, álpozitív nuku).

    De a Firefox sem verhetetlen. Én is bekaptam már a hírhedt thefeedyard/globexonline adware szkriptet (pont ahogy a PDF-be ágyazot cuccot sem keresi senki, ezt sem látták mert plugin-szintű JavaScript-modulról van szó ami egyenesen a Firefoxba ágyazza magát és átírja a linkeket - idegesítő de nem feltétlenül káros).

    Amúgy kémprogramok ellen van egy 100%-ban verhetetlen védelem: nem kell olyat tárolni a gépen, amit esetleg megpróbálnának ellopni (persze ez csak otthoni és nyilvános gépeken műxik, a többit elvileg vagy párszázezer tűzfal és behatolásgátló program védi vagy nincs is rákötve a netre így az ellopott anyag nem továbbítható).
  • szombi #20
    "McAfee" - szóval a mekiben már majomburgert is felszolgálnak?
  • Garrett27 #19
    Kösz a fölvilágosítást. Ez esetben sajnálom, hogy nem nevezik nevén a dolgokat, hiszen a körtére se mondom azt, hogy úgynevezett villanykörte.
  • willcox #18
    Honnan tudod, hogy ott van?
    1. Másik gépbe betéve a winchestert simán kiüthető minden.
    2. Ha van mentésed egy stabil állapotról, akkor simán bármi hatástalanítható.
  • willcox #17
    Nem használok Comodo-t, nem tudom, hogy mit csinál. PDF-et csak a gépemen nyitok meg Foxit-tel, a Foxit nem mehet internetre (még update-re sem). Kell ennél több?
  • Nagydög #16
    Amig az oprendszer latja el adatokkal a tuzfalat, addig az is ki van szolgaltatva a rootkiteknek. En lattam olyat(illetve nem lattam), amirol tudtam, hogy ott van(spamet kuldott szakmanyban), de semmilyen modszerrel nem tudtam elcsipni.
  • Tetsuo #15
    Na ja, de pl a Comodo kiir vmi altalanosat, meg mutat egy sarga mappat, abbol nem tudod meg, h most a Reader updatelni akar, v vmi van..
    A Comodo minden egyes programmuveletnel jelez szinte, de nem irja ki, h mi van, csak vmi altalanos szoveget..
  • M0RN1NGST4R #14
    egyszerűbb, ha virtuális oprendszer alól szerzed be/nézed meg a problémás cuccokat.
  • Lost Lont #13
    Azért kíváncsi vagyok, a Foxit Readert és az Okulart is megeszi-e ez a vírus, gondolom inkább Adobe-orientált. De amúgy meg ha nem rendszergazdaként böngészik az ember, és esetleg pláne nincs írási joga a rendszermappákba, akkor szerintem lőheti a trójaiját, és akkor még nem is használtam vírusirtót. Egy szerveren meg nem hinném, hogy olyan fatális tévedést követnének el, hogy böngésznek rajta meg pdf-eket nyitogatnak meg.