image

Online scanner controleert besmette PDF-bestanden *Update*

woensdag 22 april 2009, 09:50 door Redactie, 7 reacties

De Belgische beveiligingsonderzoeker Didier Stevens ontwikkelde onlangs een gratis tool voor het detecteren van kwaadaardige PDF-bestanden, die nu ook aan VirusTotal is toegevoegd. Geprepareerde PDF-documenten worden regelmatig bij gerichte aanvallen ingezet. Veel slachtoffers beseffen niet dat het openen van een PDF-bestand net zo gevaarlijk als het openen van een executable kan zijn. Daarnaast blijkt dat veel PDF-lezers, zoals Adobe Reader, niet worden geupdate. PDFiD controleert PDF-bestanden door naar verschillende elementen te kijken die op een kwaadaardig document kunnen duiden.

Update 13:10
Didier Stevens stuurde ons de volgende aanvullende informatie. "Het tooltje is toegevoegd aan VirusTotal voor het geval geen enkele virusscanner een malware in de PDF detecteert. Dit gebeurt wel vaker met nieuwe exploits. PDFiD toont een statistiek van basiselementen in de PDF. Al deze cijfers worden uitgelegd op de pagina van het tooltje zelf.

Maar in een notedop: als de PDF JavaScript bevat (/JS en/of /JavaScript verschillend van 0) en een automatische actie onderneemt (/OpenAction en/of /AA verschillend van 0), dan is de kans groot dat het om een malicious PDF document gaat. Het tooltje houd ook rekening met mogelijk obfuscation van de PDF names. De meeste virusscanners houden hier geen rekening mee. Het is dus een triage tool voor het geval virusscanners niets detecteren, het vervangt een virusscanner niet."

Verdere ontwikkelingen die Stevens van plan is toe te voegen:

  • Dumpen van de timestamps.
  • Berekenen van de entropie in en buiten de streams.
  • Decompressen van object streams + scannen van de objects bevat in deze object streams.
  • Bewaren van het PDF bestand in een aangepaste vorm zodat de JavaScript en automatische acties uitgeschakeld worden.
Reacties (7)
22-04-2009, 10:30 door Kukel
Zou mijn virusscanner (ja, op linux draai ik die ook) dit niet moeten detecteren?
22-04-2009, 10:41 door micmast
Door Kukel: Zou mijn virusscanner (ja, op linux draai ik die ook) dit niet moeten detecteren?
zou moeten, maar dat is niet altijd het geval. AV scanners zoeken naar signatures en niet perse naar bepaalde tags. Ik ga niet zeggen dat er geen enkel AV het ondersteunt, maar ik kan geloven dat er zijn die dat niet doen
22-04-2009, 12:21 door Paultje
En onder de leken onder ons....Zou meneer Didier Stevens kunnen uitleggen wat deze resultaten eigenlijk allemaal betekenen? Hoe kun je een viraal bestand uit deze cijfermatige warboel wijs worden? Het is maar een vraagje hoor!
22-04-2009, 12:53 door micmast
Door Paultje: En onder de leken onder ons....Zou meneer Didier Stevens kunnen uitleggen wat deze resultaten eigenlijk allemaal betekenen? Hoe kun je een viraal bestand uit deze cijfermatige warboel wijs worden? Het is maar een vraagje hoor!
De cijfertjes duiden aan hoevaak een tag voorkomt in een bepaald document. Dit zegt op zich bijzonder weinig tot niets, maar kan je wel een indicatie geven of er iets niet in orde is. Het zal zeker niet 100% zeker kunnen zeggen of er een virus in zit of niet, gewoon of er een mogelijkheid is tot.
22-04-2009, 12:56 door Didier Stevens
Ik heb bijkomende informatie naar de redactie gestuurd, ik verwacht een update van dit artikel.

Maar PDFiD vervangt een AV scanner niet, het helpt je enkel vooruit indien AV scanners niets detecteren.
22-04-2009, 13:01 door Didier Stevens
Door PaultjeEn onder de leken onder ons....Zou meneer Didier Stevens kunnen uitleggen wat deze resultaten eigenlijk allemaal betekenen? Hoe kun je een viraal bestand uit deze cijfermatige warboel wijs worden? Het is maar een vraagje hoor!
De 4de link in het artikel geeft alle uitleg over deze resultaten: http://blog.didierstevens.com/programs/pdf-tools/#pdfid

Het is maar een antwoord hoor ;-)
22-04-2009, 14:40 door Anoniem
Malware wordt meestal verkocht met een SLA dat de meeste commercieel (en gratis) verkrijgbare scanners die niet detecteren. Anders heeft het niet zo veel zin om een botnet te huren voor veel geld en een SPAM run te doen.

Daarom wordt malware tegenwoording nauwelijks nog gedetecteerd door anti-virus scanners. Triest maar waar.

Vroeger (voor 2006) deden virussen nog wel eens 'pijn' op de PC of netwerk - tegenwoordig merk je niets meer als je PC is ge-infecteerd, en doet de trojan rustig zijn werk.

Ik hoor vaak van mensen dat ze al tijden geen problemen hebben gezien met virussen: "we zijn heel tevreden over onze anti-virus oplossing - we zien nooit wat". Dat wil helaas niet zeggen dat je geen systemen hebt die ge-infecteerd zijn...

Gegroet,

Richard
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.