Kot namreč določa PDF specifikacija, je v PDF dokumente mogoče vključevati različne datoteke. Manzano pa v svojem prispevku piše o tem, kako v nedolžen PDF dokument vključiti in skriti zlonamerni PDF dokument.
Z nekaj preprostimi triki je mogoče tudi doseči, da se ta vključeni PDF ne prikaže kot priponka, pač pa se samodejno odpre takoj, ko uporabnik odpre osnovni dokument.
Manzano je nato ustvaril PDF, ki vsebuje zlonamerno kodo (sicer ne naredi nobene škode), ga vključil v neproblematičen osnovni PDF in preveril ali protivirusniki na Virustotal.com v končnem PDF dokumentu zaznajo virus (oz zlonamerno kodo).
Rezultat: 0/41. Od 41 protivirusnikov zlonamerne kode v tako ustvarjenem PDF dokumentu ni zaznal niti eden.
Can we hide evil files from antivirus software? YES we can!
Tole zna biti pa velik problem. Ljudje so se že večinoma navadili, da ne poganjajo priponk v e-mailih, sedaj pa smo dobili še neprimerno večji problem. Enako kot e-mail vsi uporabljamo PDF datoteke, ampak če se priponke sploh ne vidi in se samodejno požene ne moremo narediti popolnoma nič proti okužbi. WE ARE DOOMED !!!
Nujno bo treba narediti popravek v vseh programih za pregledovanje PDF dokumentov.
Naj še dodam, da meni omenjenega PDF dokumenta noče odpreti. Pri odpiranju se odpre okenček "Iskalnik napak Javanskih skriptov", ki napiše, da dokument vsebuje 1 skripto, ki pa ima napako in potem se vsaj na videz ne zgodi nič.
1. za odpiranje uporabim Adober reader 7 (AR7) + avira AV free (v9.0.0.418 , AV baza z dne 14.1 2010)) avira zazna "nevarnost" in ponudi standarni meni (move, delete, deny, ignore)
izklopim aviro in AR7 pove da omenjen pdf uporablja JavaScript ter vpraša če hočem vklopiti JavaScript ?
2. za odpiranje uporabim foxit v3 odpre prazen pdf (avira ne javi nič)
Veliko ljudi sploh ne ve, da lahko PDF readerji izvajajo javascript ukaze iz PDFjev, kar je sicer po mojem bedarija in ne spada v PDF. Se pa na srečo to lahko izklopi, čeprav še nedavno je bil v PDF readerjih standard da je to po defaultu vklopljeno. Po drugi strani pa ti iz varnostnih razlogov teži za vsak link, ki ga hočeš odpret...
Za razliko od ostalih troj. konjev v pdf dokumentih je tokrat bila uporabljena metoda, ki razmece podatke po celem dokumentu in so prisotni v pdf-u kot prazni objekti. Slike npr., ki skrivajo v sebi kodo. In ko si odprl dokument, je bila ze vsa koda v pdf-u za razliko od starejsih metod, ki so navadno z neta nato zdownloadale trojanca
Izklop JavaScript-a bi v tem primeru rešil zadevo. Embedded PDF (file.pdf) bi se še vedno izvedel, ne pa tudi potencialna zlonamerna koda. Vendar Acrobat 9 in Reader 9 renderirata tudi ActionScript. New attack vector :D
Mene mi nod32 zazna v tem pdf-ju zlonamerno pizdarijo :)
Očitno uporabljaš Adobe, kar pomeni da zlonamerna koda lahko sploh dela. Zamenjaj PDF reader, tako da virus ne bo delal sploh.
sej mu virus ne dela. pa drugi readerji so tko tko kompatibilni z zadnjimi extensioni.
Po temu kar razlagaš virus se sproži ter ga anti-virus zaustavi. Kaj boš naredil ča anti-virus ne bo imel definicije za mutiran virus? Rajši uporabi reader ki ne sproži viruse.
Heap spraying deluje BP tudi na Foxit Readerju. As long as JS is enabled.
Verjetno (verjamem na besedo), vendar v zgornjem primeru, virus ne dela v kolikor uporabiš Foxit reader.
Po temu kar razlagaš virus se sproži ter ga anti-virus zaustavi. Kaj boš naredil ča anti-virus ne bo imel definicije za mutiran virus? Rajši uporabi reader ki ne sproži viruse.
foxit ima probleme recimo že z digitalnim podpisom. pa še kaj se najde , odvisno če gre samo za branje lahko uporabljaš alternative sicer pa ne vedno.
Po temu kar razlagaš virus se sproži ter ga anti-virus zaustavi. Kaj boš naredil ča anti-virus ne bo imel definicije za mutiran virus? Rajši uporabi reader ki ne sproži viruse.
foxit ima probleme recimo že z digitalnim podpisom. pa še kaj se najde , odvisno če gre samo za branje lahko uporabljaš alternative sicer pa ne vedno.
Se strinjam, Foxit ni 100% rešitev za PDF, vendar Adobe ne taknem z palico.
Jest se pa sprašujem a je tako težko dodati eno samo vrstico v Microsoft OSu. "Ne dovoli NIČEMUR razen samemu sebi spreminjat kritične system file, brez admin privilegijev"
Ena sama vrstica v kodi, ki jo linux ima, windows pa ne. Pa lahko razdeseteri količino okužb...
ker v tem primeru bi UAC javil, da hoče Adobe admin access za ivajanje nečesa in vsak pametn uporabnik bi rekel lepo ne(kaj Ima Adobe za nucat admin access)
