Nieuws
image

Zeus Trojan verstopt in PDF-bestanden

donderdag 15 april 2010, 12:32 door Redactie, 6 reacties

Eén van de gevaarlijkste Trojaanse paarden van het moment gebruikt de Launch actie in PDF-bestanden om systemen te infecteren. Zowel M86 als Websense waarschuwen voor een spamcampagne die een PDF-bestand genaamd 'Royal Mail Delivery Invoice' verspreidt. In het bestand zit de Zeus Trojan ingebed, die automatisch bij het openen van de PDF wordt geïnstalleerd. Gebruikers van Adobe Reader en Foxit Reader krijgen wel een waarschuwing, maar hebben toch de mogelijkheid het bestand te openen.

"De gebruiker denkt ten onrechte dat het gewoon een PDF bestand is, en daarom veilig om op te slaan. Het bestand is in werkelijkheid een uitvoerbaar Windows bestand die de computer overneemt", aldus Websense. De e-mail in kwestie beweert dat er een pakketje niet kon worden afgeleverd en men voor vragen de meegestuurde rekening moet bekijken. Zeus is met name populair omdat het gegevens voor internetbankieren en andere vertrouwelijke informatie kan stelen.

Reacties (6)
15-04-2010, 13:04 door Bitwiper
Opnieuw is Foxit minder veilig dan Adobe Reader: volgens de analyse van M86 (http://www.m86security.com/labs/traceitem.asp?article=1301) schrijft de laatste versie van Foxit Reader, met Javascript enabled, het bestand naar een van de mappen van de gebruiker (waarschijnlijk "mijn documenten") - zonder hiervoor toestemming te vragen aan de gebruiker.
15-04-2010, 13:52 door Preddie
Door Bitwiper: Opnieuw is Foxit minder veilig dan Adobe Reader: volgens de analyse van M86 (http://www.m86security.com/labs/traceitem.asp?article=1301) schrijft de laatste versie van Foxit Reader, met Javascript enabled, het bestand naar een van de mappen van de gebruiker (waarschijnlijk "mijn documenten") - zonder hiervoor toestemming te vragen aan de gebruiker.

opnieuw? zeg maar gerust voor het eerst ...... de andere 100 vulnerability's zijn in adobe acrobat reader gevonden.
15-04-2010, 14:28 door Anoniem
JS altijd uitzetten in een PDF Reader ;)
15-04-2010, 14:51 door Spiff has left the building
Met "opnieuw" doelde Bitwiper waarschijnlijk op het probleem met Foxit Reader dat werd opgelost met versie 3.2.1.0401,
het (anders dan Adobe Reader) zonder enige waarschuwing "openen van niet-PDF bijlagen in externe toepassingen",
zoals beschreven door Didier Stevens:
http://blog.didierstevens.com/2010/03/31/escape-from-foxit-reader/

Het nu door M86 beschreven gedrag van Foxit Reader is opnieuw niet fraai.
15-04-2010, 18:30 door Rene V
Door Bitwiper: Opnieuw is Foxit minder veilig dan Adobe Reader: volgens de analyse van M86 (http://www.m86security.com/labs/traceitem.asp?article=1301) schrijft de laatste versie van Foxit Reader, met Javascript enabled, het bestand naar een van de mappen van de gebruiker (waarschijnlijk "mijn documenten") - zonder hiervoor toestemming te vragen aan de gebruiker.

Gelukkig zet ik deze optie (javascript enabled) altijd standaard uit bij een clean install. Na elke update check ik voor de zekerheid of dit nog steeds uit staat. Indien niet, zet ik het alsnog uit.
15-04-2010, 20:53 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure