Avira lancia l'allarme dei virus polimorfici su file PDF

Gli analisti dei virus di Avira stanno attualmente lanciando l'allarme sull'esistenza di exploit kit complessi che trasportano virus polimorfici attraverso file in formato PDF. I cyber-criminali tentano così di eludere i metodi di rilevazione più semplici, basati sulla somma di controllo o sulle dimensioni del file.

Tettnang, 5 novembre 2008 – Gli esperti di sicurezza informatica Avira hanno analizzato file in formato PDF infettati dal recente exploit kit denominato El-Fiesta, aggiornando quindi il database delle firme dei virus. Le soluzioni Avira per la sicurezza rilevano e bloccano i malware, sempre diversi, trasportati dai file PDF.

I malware si introducono nel computer dell'utente attraverso i download drive-by, ossia quei programmi che si installano in automatico nel sistema senza che l'utente se ne accorga durante la navigazione in internet. Per riuscire nello scopo, gli hacker prendono di mira siti Web "benigni" e li collegano a exploit kit come El-Fiesta, che passano in rassegna il sistema delle potenziali vittime alla ricerca di falle nella sicurezza dei software da sfruttare a proprio vantaggio.

I file PDF infetti sfruttano una vulnerabilità di sistema di Adobe Reader 8.1.1 e delle versioni precedenti, indicata come CVE-2007-5659 sul database delle Common Vulnerabilities and Exposures: si tratta di overflow dei buffer che si verificano quando si elaborano argomenti particolarmente lunghi nelle funzioni JavaScript. Quando un JavaScript causa un overflow di buffer in un file PDF, è possibile scrivere in memoria un codice esterno e eseguirlo poi sul PC, come accade nel caso dei trojan.

Per proteggere il proprio PC, è necessario che gli utenti mantengano aggiornati il sistema operativo, l'antivirus e tutti i software installati sul computer. Adobe ha pubblicato oggi un aggiornamento per Adobe Reader 8.1.3 che corregge la falla di sistema sfruttata dai malware che si insinuano nei file PDF. La versione Adobe Reader 9 non è, invece, vulnerabile.

Gli esperti di sicurezza informatica di Avira hanno analizzato il virus polimorfico che attacca i PDF per sviluppare un nuovo meccanismo di riconoscimento.

I file PDF infetti creati dall'exploit kit hanno dimensioni diverse e una somma di controllo MD5 diversa a ogni download. Il JavaScript è impacchettato e criptato, e anche una volta spacchettato è continuamente contraffatto.

Un aspetto cruciale nel caso di questi PDF polimorfici è che tutti i file contengono la stessa tabella xref, per cui orario e fuso sono identici. Gli analisti Avira hanno quindi dedotto che gli hacker creano un file PDF standard in cui incorporano e inviano oggetti contraffatti univoci.

Questo è possibile perché Adobe Reader ripara le xref table difettose cercando gli oggetti contrassegnati nel documento e usando i dati corretti. In questo modo, viene visualizzato il file PDF e eseguito il JavaScript maligno.

Per chi sviluppa malware si tratta di un'operazione davvero elementare e addirittura conveniente dal punto di vista economico, dato che permette di ottenere grandi risultati con pochissime spese. Può richiedere uno sforzo maggiore solo nel momento in cui diversi antivirus iniziano a riconoscere i documenti infetti.