Kriminelle er begyndt at bruge et uklart billedfilter til at gøre ondsindede PDF-filer næsten usynlige for mange antivirusprogrammer, sagde det tjekkiske sikkerhedsfirma Avast Software.
Tricket indebærer at skjule en almindelig Adobe Reader-udnyttelse i en PDF-fil (Portable Document Format) -fil ved at kode den med JBIG2Decode-filteret, der normalt bruges til at minimere filstørrelser ved indlejring af monokrome TIFF-billeder (Tagged Image File Format) i PDF-filer.
[Find ud af, hvordan du blokerer vira, orme og anden malware, der truer din virksomhed, med praktisk rådgivning fra ekspertbidragere i "Malware Deep Dive" PDF-vejledning. ]
Da indholdet ser ud til at antivirussoftware som et harmløst todimensionalt TIFF-billede, går den ondsindede udnyttelse ubemærket hen.
"Hvem ville have troet, at en ren billedalgoritme kunne bruges som et standardfilter på den objektstrøm, du ønsker?" sagde Avast-virusanalytiker, Jiri Sejtko, i en blog. "Og det er grunden til, at vores scanner ikke lykkedes med at afkode det originale indhold - vi havde ikke forventet sådan adfærd."
En del af problemet var omfanget, der blev tilbudt af PDF-specifikationen til at bruge filtre som JBIG2Decode på usædvanlige måder, og endda at bruge flere af dem på én gang på en lagdelt måde, sagde han.
TIFF-sårbarheden, der er målrettet mod, er CVE-2010-0188 fra februar 2010, hvilket påvirker Adobe Reader 9.3 eller tidligere versioner, der kører på Windows, Mac og Unix. Aktuelle versioner, Reader X 10.x, påvirkes ikke, selvom mange brugere stadig bruger ældre versioner.
Derudover mener Avast-forskere, at den samme JBIG2Decode-filterteknik bruges til at skjule andre udnyttelser, herunder en TrueType-fontudnyttelse fra september 2010, der påvirker Reader 9.3.4, der kører på alle platforme.
”Vi har set dette ubehagelige trick blive brugt i et målrettet angreb og har set det hidtil været brugt i et relativt lille antal generelle angreb. Det er sandsynligvis derfor ingen andre er i stand til at opdage det, ”sagde Sejtko. Avast havde nu opdateret sin software til at opdage JBIG2Decode-angrebet.
Teknikker, der maskerer udnyttelse på denne måde, vil forblive relativt krævende for antivirusscannere at samle op, fordi de kræver, at det er unødvendigt at vælge dem ved hjælp af en dedikeret algoritme frem for en simpel signatur.
Sejtko sagde, at Avast-forskere ville diskutere brugen af filtre til at skjule bedrifter på det kommende Caro 2011 Workshop, der blev afholdt i Prag den 5.-6. Maj.
