Spammers misbruiken Adobe-lek om pdf's met malware te verzenden

Daags nadat softwarefabrikant Adobe een fix voor een kritiek lek in zijn Acrobat-software heeft gedicht, proberen aanvallers via mails met besmette pdf-bijlagen nieuwe slachtoffers te maken.

De pdf's met malware, die luistert de naam Trojan.Pidief.A, worden rondgestuurd per mail. Na infectie tracht de malware de beveiligingsinstellingen van de Windows-computer te verlagen, onder meer door via het 'netsh firewall set opmode mode=disable'-commando de firewall van Windows uit te schakelen. Als dat lukt, downloadt de malware een mass downloader, zo waarschuwt Symantec.

Pdf-bestanden zijn een tijd favoriet geweest bij aandelenspammers om hun commerciële boodschappen te verspreiden. Veel spamfilters kunnen de inhoud van pdf-bestanden niet scannen, waardoor de kans toeneemt dat de boodschap bij de ontvanger in de inbox belandt.

Volgens het SANS Institute betreft de code die nu in het wild is ontdekt een proof of concept. Dit is veelal een voorbode van nieuwe golven van aanvallen die hierop gebaseerd zullen zijn. Die patch voor het lek, dat volgens Symantec alleen gevaarlijk is voor gebruikers van Windows XP met IE7 en dat voorkomt in Adobe Reader, Adobe Acrobat en Adobe 3D, werd door Adobe maandag vrijgegeven. SANS adviseert dan ook om de patch die Adobe eerder al introduceerde, te installeren.

In juli ontstond al opschudding toen bleek dat uri's vaak ongecontroleerd doorgegeven werden aan andere programma's, waarna die applicaties de ontvangen adressen konden verwerken zonder ze te controleren. Ook de kwaadaardige pdf maakt misbruik van het omstreden uri-lek (via mailto:), dat in Windows XP en Windows Server 2003 in combinatie met IE7 voorkomt.

Door Wilbert de Vries

Feedback • 24-10-2007 09:35 34

24-10-2007 • 09:35

34

Lees meer

Nieuwe Acrobat Reader X draait in sandbox-omgeving
Nieuwe Acrobat Reader X draait in sandbox-omgeving Nieuws van 18 oktober 2010
Adobe brengt noodpatch uit voor 'lettertypelek' in Reader
Adobe brengt noodpatch uit voor 'lettertypelek' in Reader Nieuws van 6 augustus 2010
Microsoft helpt Adobe met sandbox voor Adobe Reader
Microsoft helpt Adobe met sandbox voor Adobe Reader Nieuws van 22 juli 2010
F-Secure bepleit veiligere pdf-reader in Windows
F-Secure bepleit veiligere pdf-reader in Windows Nieuws van 3 mei 2010
Trojans verspreid via downloadmanager
Trojans verspreid via downloadmanager Nieuws van 15 maart 2008
Geen winnaar in uitgebreide virusscannertest
Geen winnaar in uitgebreide virusscannertest Nieuws van 29 januari 2008
Sans: 'Een op drie websites besmet met malware'
Sans: 'Een op drie websites besmet met malware' Nieuws van 5 december 2007
Mozilla: 'Exploit werd toch niet veroorzaakt door Internet Explorer'
Mozilla: 'Exploit werd toch niet veroorzaakt door Internet Explorer' Nieuws van 25 juli 2007
Meer applicaties gevoelig voor uri-lek
Meer applicaties gevoelig voor uri-lek Nieuws van 18 juli 2007
Browserlek veroorzaakt door combinatie IE en Firefox
Browserlek veroorzaakt door combinatie IE en Firefox Nieuws van 11 juli 2007
Meer producten en artikelen
Netwerk en systeembeheer Privacy Adobe Beveiliging Patches

Reacties (34)

-Moderatie-faq
34
29
7
4
0
0
Wijzig sortering
wizzkizz 24 oktober 2007 09:48
Het commando dat ze gebruiken behoort netjes een "Toegang geweigerd" reactie van je Windows XP op te leveren, bij mij wel iig.

* wizzkizz werkt natuurlijk als gebruiker en niet als admin ;)
Swelson @wizzkizz24 oktober 2007 09:54
Ik heb gebruikersaccountsbeheer (Vista) pas uitgezet omdat ik elke keer als ik de pc aanzet een stuk of wat programma's toestemming moet geven. Is dit niet te veranderen? Dat dat automatisch gaat?
Verwijderd @Swelson24 oktober 2007 09:58
Nee, dat zou UAC nutteloos maken. Virussen zouden dan op die manier zichzelf altijd admin rechten kunnen laten geven.
Verwijderd @Verwijderd24 oktober 2007 10:06
dit hoort dan ook DEGELIJK beveiligd te zijn.

een keer op "ok" klikken kan zelfs een programma (kijk maar naar hitman pro, die "klikt" zichzelf door ad-aware en dergelijke. als deze dit kan, kan een virus het ook.)

wil je geen virussen? draai als een user.
kan je niets doen als user of vindt je de constante kinderachtige "waarschuwingen" storend, gebruik dan echte software.
Verwijderd @Verwijderd24 oktober 2007 10:12
Een programma -kan- niet op OK klikken, aangezien de UAC prompts in de secure desktop draaien. Alleen systeemprocessen kunnen in de secure desktop draaien, en het pad om in de secure desktop te komen moet dus ook volledig vertrouwd zijn. In andere woorden, je virus kan niet draaien op de SD en dus geen UAC-button aanklikken.
Verwijderd @Verwijderd24 oktober 2007 10:41
@decape: Beetje zwakke redenatie vind je niet? "Ik vertrouw het niet, dus het is niet waar." Je laat je nu leiden door emoties in plaats van door feiten.

Ter info, de SD wordt al jaren gebruikt en is tot op heden nog niet gecompromitteerd. Ervaring genoeg?
Verwijderd @Verwijderd24 oktober 2007 10:08
Ja, op admin draaien is goed veiligheidsadvies tenslotte. 8)7 Daarnaast, UAC treedt -juist- op als je als admin draait.

Enne, ooit van sudo gehoord?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 04:23]

Verwijderd @Verwijderd24 oktober 2007 10:33
daar zit hem net het idiote.

op admin draaien is idd verkeerd en niet bepaald aangeraden.

maar helaas zijn er nog zoveel programmeurs die persee een admin account voor hun programma vereisen (hoewel dit meestal niet nodig is).

resultaat: je moet toch op een admin draaien.


persoonlijk zou ik liever ook op een user draaien (op mijn desktop/gentoo bak is dit ook zo), maar op bv: mijn gamepc is dit gewoon niet te doen. zelfs niet in vista. in vista is het trouwens te erg voor woorden om te gamen, voor het minste dat je iets wilt starten (wat tevens al maanden op die pc staat), moet je eerst op OK klikken...
voel me net een kind zo, overal toestemming voor moeten vragen.

er zijn nog meerdere punten die me storen, maar deze zijn nu niet ter discutie
Verwijderd @Verwijderd24 oktober 2007 10:38
Je geeft het zelf al aan: de fout ligt bij de software van derden, die onnodig om admin-rechten vragen.

Ik game zelf ook op Vista. Ik moet nog een UAC prompt tegenkomen bij het draaien van een spel. Bij welke spellen treedt dit probleem bij jou op?
Verwijderd @Swelson24 oktober 2007 14:11
Ik heb gebruikersaccountsbeheer (Vista) pas uitgezet omdat ik elke keer als ik de pc aanzet een stuk of wat programma's toestemming moet geven. Is dit niet te veranderen?
Ja hoor.... Die programma's moeten gewoon worden gepatched.

Het probleem is niet Windows, en niet UAC. Het probleem is dat die programma's iets willen doen waar ze geen toestemming voor hebben. Vaak is dat schrijven een op verkeerde plek, hetgeen meestal niet eens nodig is. Dan moeten ze gewoon op een plek gaan schrijven waar ze wel toegang hebben.

ALS ze inderdaad toegang tot die beveiligde plek moeten krijgen, dan moet dat bij de installatie geregeld worden. Is allemaal prima mogelijk, maar kost gewoon een beetje moeite voor de programmeur.
paterke1984 24 oktober 2007 09:44
Als windows firewall je enige bescherming is en je daar ook op vertrouwt, ben je natuurlijk ook niet slim bezig. Windows firewall biedt zo'n beetje de grootste schijnveiligheid die je je voor kunt stellen, met alleen de protectie van buiten naar binnen en niet van binnen naar buiten.
the_shadow @paterke198424 oktober 2007 09:51
De meeste firewalls draaien als service, dus een simple 'net stop [naam firewall]' zou dan al genoeg zijn om hem uit te schakelen. Daar komt bij: wat is er zo slecht aan de windows firewall? Als je een personal firewall hebt geinstaleerd, maar ook een gebruiker die zonder te lezen op 'OK' klikt, dan schiet je nog niets op.
Verwijderd @the_shadow24 oktober 2007 09:58
wat is er slecht aan de windows firewall...

hmm, even denken.

spyware dat zomaar toestemming krijgt (uit zichzelf blijkend) terwijl ik toestemming moet geven voor mijn games en firefox. bijkomend ben ik dan al geconnecteerd en bezig op het net met firefox terwijl het venster "blokkeren opheffen" openstaat (dus het wordt volgens de firewall al geblocked maar toch heb ik er geen last van....


schijnveiligheid genoeg?
NNF @paterke198424 oktober 2007 10:41
Protectie van binnen naar buiten is nutteloos. Als er immers één of andere trojan al op je PC staat is het leed al geleden en kan die firewall er net zo goed niet zijn. Daarbij is het makkelijk te omzeilen/uit te schakelen en in de regel klikken mensen toch bij alles op "Ja" dus dan heb je er al helemaal niks aan.

Het enige wat écht nuttig is, is NAT. Software firewalls zijn gruwelijk overbodig. :)
Maurits van Baerle @NNF24 oktober 2007 12:52
Precies andersom, NAT beschermt je niet tegen aanvallen van binnen naar buiten en laat trojans dus ongehinderd hun werk doen. Bovendien laat een NAT alles door, of het nou van Firefox.exe of Virus.exe is en doet geen enkele check op applicatieniveau.

Je kunt beter een echte firewall hebben dan vertrouwen dat NAT iets doet waar het niet voor bedoeld (je beschermen tegen ongewenst verkeer).

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 04:23]

Verwijderd 24 oktober 2007 12:51
Met up-to-date antivirus definities loop je geen risico's.
MneoreJ @Verwijderd24 oktober 2007 14:38
Da's wel erg kort door de bocht. Juist exploits worden slecht tegengehouden door virusscanners, omdat ze makkelijk te maken zijn en vaak zelf geen (herkenbaar) uitvoerbare code bevatten. Je virusscanner kan moeilijk de uitwisseling van gegevens tussen al je programma's in de gaten houden. De exploit moet zelf een vorm hebben die makkelijk door de scanner herkend kan worden (bepaalde strings e.d.)

Nou gaat het hier om scripting in PDF, dus ik verwacht wel dat dit door een goede virusscanner opgepikt zal worden, maar vanzelfsprekend is het allemaal niet. Ik zou niet gelijk durven zeggen dat mijn scanner PDFjes ontleedt, bijvoorbeeld, dat zou ik eerst na moeten kijken.
Verwijderd 24 oktober 2007 09:39
Dat krijg je er nu van als je data en code mixt. MS heeft die ellende ook met z'n macro's, en Adobe heeft pdf nota bene ontwikkeld omdat dit soort problemen er ook met de voorganger Postscript waren. En het dan nu weer introduceren... ezels die zich 2 keer aan dezelfde steen stoten zijn het.
Blokker_1999
@Verwijderd24 oktober 2007 09:49
in elk programma zitten fouten, belangrijker is hoe de ontwikkelaars er mee omspringen. Het gat is in dit geval gedicht voordat er malware was dat er misbruik van maakt. Dan is het enkel nog aan de gebruiker om ervoor te zorgen dat zijn systeem up to date is.
elmuerte @Blokker_199924 oktober 2007 09:56
Het punt dat johanw910 maakt is niet dat er bugs in software zit, maar dat er grove design flaws opnieuw gemaakt worden.
Blokker_1999
@elmuerte24 oktober 2007 10:52
Hoe kan dit een ontwerpfout zijn? Hoe weet hij dat dit een ontwerp fout is? Er word gesproken van een kritiek lek, niet dat een vooraf voorziene functie misbruikt kan worden. En het is niet de eerste keer dat een oude, antieke fout uit een programma van lang geleden nog eens bovenkomt.
Verwijderd 24 oktober 2007 10:34
Maar ligt het nou alleen aan Adobe Reader of heb ik er met Foxit Reader ook last van?
Frostbite @Verwijderd24 oktober 2007 12:23
Denk dat dit alleen met Adobe te maken heeft.
Verwijderd 24 oktober 2007 14:02
Ik vraag me gewoon af waarom dit soort dingen gemaakt worden? Wat win je ermee om malware te verspreiden?

Ik snap het niet.

Ik snap de kick van hacken, maar virussen, trojans, en dat soort dingen; het ontgaat mij.
MneoreJ @Verwijderd24 oktober 2007 14:49
Winst, mijn beste, dikke vette criminele winst. Spam bijvoorbeeld levert nog altijd geld op, mits met genoeg volume gedaan, en malware kan je helpen om voldoende volume te krijgen. Of maak de computer lid van een botnet voor DDOS-chantage en gedistribueerd kraken. Of installeer keyloggers en probeer bedrijfsgeheime informatie of creditcardgegevens te bemachtigen. De mogelijkheden zijn eindeloos, en mensen worden dan ook betaald om malware te ontwikkelen. De tijd dat een enthousiasteling op een zolderkamertje experimenteerde met virussen vanuit een theoretische interesse ligt achter ons.
Verwijderd @Sefyu24 oktober 2007 09:48
onlangs werd volgens mij bekend dat ook firefox uris ongecontroleerd door gaf. Ze zijn dan misschien niet vatbaar voor dit probleem maar de oorzaak is vrijwel gelijk ;)
SuperDre @Verwijderd24 oktober 2007 09:52
juist, firefox is net zo 'schadelijk' op dat gebied als IE7, maar dat komt uiteindelijk meer door URI zelf dan door de browsers, die doen precies wat ze moeten doen, doorgeven aan een programma wat gekoppeld is aan de URI.. tja, dat dat programma de parameters die die binnenkrijgt niet controleert is dus de fout van dat programma, niet van de browsers..
Blokker_1999
@SuperDre24 oktober 2007 09:55
En het was net IE die de URI doorgaf aan Fx en zo het probleem veroorzaakte. Fx was dus 2x in de fout gegaan. Fx heeft de fout wel snel rechtgezet terwijl MS nog een hele tijd de schuld van zich afschoof maar uiteindelijk toch met een patch is gekomen.
Blorgg @Blokker_199924 oktober 2007 12:35
Nee, de schul ligt niet bij MS. Zoals SuperDre al aangaf, IE deed exact wat ie moest doen: de URI doorgeven. Het is niet de taak van de browser om te controleren of een URI strings bevat die in fouten in andere programatuur kan uitbuiten.

Het is de fout van het programma die niet goed om gaat met de invoer die het binnen krijgt. Het was dus 100% de fout van Firefox. Microsoft is de gebruikers tegemoet gekomen en filtert nu enkele bekende exploits van URI's, maar dat hoeven ze zeker niet te doen want het is niet hun fout.

Zo ook met dit lek in de Adobe software, niet de fout van MS. Gelukkig is er al een patch voor beschikbaar. Maar helaas is het update proces van Adobe Reader zo omslachtig en vooral langzaam dat ik vrees dat veel mensen de update niet geinstaleerd hebben, of zullen instaleren.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq