Avira met en garde contre les virus polymorphes dans les PDF

Les analystes de virus d’Avira mettent en garde contre des kits d’exploitation complexes portant des virus polymorphes dans des fichiers PDF. Les cybercriminels tentent de cette manière de contourner les méthodes de détection simples se basant sur les sommes de contrôle ou la taille des fichiers.

Tettnang, 5 novembre 2008 – Les experts en sécurité d’Avira ont analysé les fichiers PDF contaminés par le récent kit d’exploitation prénommé El-Fiesta et mis à jour le fichier de signatures des virus. Les solutions de sécurité Avira détectent et bloquent les logiciels malveillants de PDF en mutation permanente.

Les logiciels malveillants se glissent subrepticement dans les ordinateurs des utilisateurs lors de la navigation sur Internet, par le biais de téléchargements automatiques intempestifs. Pour ce faire, les criminels piratent des sites Internet authentiques et les connectent à des kits d’exploitation comme El-Fiesta. Le kit d’exploitation analyse l’ordinateur de la victime potentielle, à la recherche de brèches de sécurité logicielle à exploiter.

Les fichiers PDF contaminés exploitent une vulnérabilité bien connue de la sécurité d’Adobe Reader 8.1.1 et des versions antérieures, qui a été signalée comme CVE-2007-5659 dans la base de données CVE (Common Vulnerabilities and Exposures). Elle concerne les dépassements de capacité de la mémoire tampon, lors du traitement d’arguments très longs dans des fonctions JavaScript. Lorsqu’un JavaScript provoque un dépassement de capacité de la mémoire tampon dans un fichier PDF, du code externe peut être écrit dans la mémoire, puis fonctionner sur l’ordinateur comme un cheval de Troie.

Pour rester protégés, les utilisateurs doivent maintenir à jour leurs systèmes d’exploitation, leur logiciel antivirus et tous les logiciels installés. Adobe a aujourd’hui publié une mise à jour pour Adobe Reader 8.1.3 qui répare la brèche exploitée par les logiciels malveillants de PDF. Adobe Reader 9 n’est pas vulnérable.

Les experts en sécurité d’Avira ont analysé le virus PDF polymorphe en vue de développer un nouveau mécanisme de détection.

Les fichiers PDF contaminés, créés par le kit d’exploitation présentent une taille et une somme de contrôle MD5 différentes à chaque téléchargement. Le JavaScript est zippé et chiffré et même après le dézippage, il est falsifié à plusieurs reprises.

Autre caractéristique notable de ces PDF polymorphes: tous les fichiers contiennent le même tableau xref, les entrées de temps et de déplacement sont identiques. Les analystes d’Avira en ont déduit que les pirates informatiques avaient créé un fichier PDF standard dans lequel ils intègrent et délivrent des objets falsifiés uniques.

Cela est possible du fait qu’Adobe Reader répare les tableaux xref défectueux en cherchant des objets marqués dans le document et en utilisant les données correctes. Par conséquent, le fichier PDF est affiché et le JavaScript malveillant s’exécute.

Ce processus est très simple à mettre en œuvre pour les concepteurs de logiciels malveillants, voire même d’une efficacité très économique: des résultats énormes à faibles coûts. Les efforts à produire seront plus intenses, uniquement après que de nombreux produits antivirus auront détecté les documents contaminés.