Avast намира PDF експлойт невидим за антивирусни програми

Престъпниците започнаха да използват неясен филтър за изображения, за да направят зловредните PDF файлове, но невидими за много антивирусни програми, каза чешката фирма за сигурност Avast Software.

Трикът включва скриване на общ експлойт на Adobe Reader във файл PDF (Portable Document Format) чрез кодиране с филтъра JBIG2Decode, който обикновено се използва за минимизиране на размера на файловете при вграждане на монохромни TIFF (Tagged Image File Format) изображения в PDF файлове.

[Разберете как да блокирате вирусите, червеите и други зловредни програми, които застрашават вашия бизнес, с практически съвети от експерти, които участват в PDF ръководството за „Глубоко гмуркане от зловреден софтуер“. ]

Тъй като съдържанието изглежда на антивирусния софтуер като безобидно двуизмерно TIFF изображение, злонамереният експлойт остава незабелязан.

„Кой би помислил, че алгоритъм с чисто изображение може да се използва като стандартен филтър на всеки обектен поток, който искате?“ каза анализаторът на вируси Avast Иржи Сейтко в свой блог. „И това е причината, поради която скенерът ни не успя да декодира оригиналното съдържание - не бяхме очаквали подобно поведение.“

Част от проблема е обхватът, предлаган от спецификацията на PDF, за използване на филтри като JBIG2Decode по необичайни начини и дори за използване на няколко от тях наведнъж по пластове, каза той.

Целевата уязвимост на TIFF е CVE-2010-0188 от февруари 2010 г., която засяга Adobe Reader 9.3 или по-стари версии, работещи на Windows, Mac и Unix. Текущите версии, Reader X 10.x, не са засегнати, въпреки че много потребители все още ще използват по-стари версии.

Освен това изследователите на Avast вярват, че същата техника на филтриране JBIG2Decode се използва за скриване на други експлойти, включително експлойт на TrueType шрифт от септември 2010 г., засягащ Reader 9.3.4, работещ на всички платформи.

„Виждали сме този гаден трик, използван при целенасочена атака, и досега сме го виждали при сравнително малък брой общи атаки. Вероятно затова никой друг не е в състояние да го открие ”, каза Сейтко. Сега Avast актуализира своя софтуер за откриване на атака JBIG2Decode.

Техниките, които маскират експлоатите по този начин, ще останат относително взискателни за антивирусните скенери, за да ги вземат, тъй като изискват измамата да бъде премахната с помощта на специален алгоритъм, а не с проста подпис.

Сейтко заяви, че изследователите на Avast ще обсъдят използването на филтри за скриване на подвизи на предстоящия семинар Caro 2011, проведен в Прага на 5-6 май.