Gezielte Attacken mittels präparierter PDFs

Software-Gigant Microsoft und mehrere Sicherheitsunternehmen melden, dass die von Adobe Mitte Februar beseitigte PDF-Lücke für Angriffe im Web genutzt wird. Es wurden speziell präparierte PDF-Dateien entdeckt, die beim Öffnen in anfälligen Versionen des Adobe Reader ein Trojanisches Pferd auf der Festplatte ablegen.

Die mit dem Update auf Adobe Reader 9.3.12 geschlossene Sicherheitslücke ermöglicht das Einschleusen und Ausführen von schädlichem Code. Genau dies passiert nun bei den Web-Angriffen. Wird eine solche präparierte PDF-Datei in einer älteren Reader-Version geöffnet (etwa über das Browser-Plug-In), schliesst sich der Adobe Reader gleich wieder. Dabei wird eine Datei namens a.exe im Hauptverzeichnis des Laufwerks C: abgelegt und gestartet.

Dieser Trojan-Downloader nimmt Verbindung mit verschiedenen Websites auf und lädt weitere Schädlinge auf den Rechner. Zudem legt er in der Registry einen Autostart-Eintrag an, um bei jedem Windows-Start automatisch geladen zu werden.

Um das Risiko einer Infizierung des Rechners zu vermeiden, sollten Anwender ihren Adobe Reader umgehend auf den neuesten Stand bringen. Dazu kann man die im Programm integrierte Update-Funktion (im Hilfe-Menü) verwenden. Eine andere Möglichkeit ist der Wechsel zu einem alternativen PDF-Betrachter.

Alternativen zum Adobe Reader
Wer sich ein alternatives PDF-Anzeigeprogramm anschauen will, wird im Computerworld-Download-Bereich fündig. Da gibts zum Beispiel den Foxit-Reader, den PDF-XChange Viewer Free sowie den Sumatra PDF Viewer.