Kriminelle har begynt å bruke et uklart bildefilter for å gjøre ondsinnede PDF-filer alt annet enn usynlige for mange antivirusprogrammer, sa det tsjekkiske sikkerhetsfirmaet Avast Software.
Trikset innebærer å skjule en vanlig Adobe Reader-utnyttelse i en PDF-fil (Portable Document Format) -fil ved å kode den med JBIG2Decode-filteret, som vanligvis brukes til å minimere filstørrelser når du legger inn monokrome TIFF-bilder (Tagged Image File Format) i PDF-filer.
[Finn ut hvordan du blokkerer virus, ormer og annen skadelig programvare som truer virksomheten din, med praktiske råd fra ekspertbidragsytere i "Malware Deep Dive" PDF-guide. ]
Fordi innholdet ser ut til antivirusprogramvare som et harmløst todimensjonalt TIFF-bilde, blir den ondsinnede utnyttelsen ubemerket.
"Hvem hadde trodd at en ren bildealgoritme kunne brukes som et standardfilter på hvilken som helst objektstrøm du ønsker?" sa Avast-virusanalytiker, Jiri Sejtko, i en blogg. "Og det er grunnen til at skanneren ikke lyktes med å dekode det opprinnelige innholdet - vi hadde ikke forventet slik oppførsel."
En del av problemet var omfanget som PDF-spesifikasjonen ga for å bruke filtre som JBIG2Decode på uvanlige måter, og til og med å bruke flere av dem samtidig på lagvis måte, sa han.
TIFF-sårbarheten som er målrettet er CVE-2010-0188 fra februar 2010, som påvirker Adobe Reader 9.3 eller tidligere versjoner som kjører på Windows, Mac og Unix. Nåværende versjoner, Reader X 10.x, påvirkes ikke, selv om mange brukere fortsatt vil bruke eldre versjoner.
I tillegg mener Avast-forskere at den samme JBIG2Decode-filterteknikken brukes til å skjule andre utnyttelser, inkludert en TrueType-fontutnyttelse fra september 2010 som påvirker Reader 9.3.4 som kjører på alle plattformer.
“Vi har sett dette stygge trikset bli brukt i et målrettet angrep, og har sett det brukt så langt i et relativt lite antall generelle angrep. Det er sannsynligvis derfor ingen andre er i stand til å oppdage det, ”sa Sejtko. Avast hadde nå oppdatert programvaren for å oppdage JBIG2Decode-angrepet.
Teknikker som maskerer utnyttelse på denne måten vil forbli relativt krevende for antivirusskannere å hente fordi de krever at det ikke blir valgt å bruke en dedikert algoritme i stedet for en enkel signatur.
Sejtko sa at Avast-forskere ville diskutere bruken av filtre for å skjule bedrifter på den kommende Caro 2011-workshopen som ble holdt i Praha 5-6. Mai.
