Sicherheitslücken in PDF-Dokumenten
Im Februar gab es ferner erstärkt Drive-by-Download-Attacken, bei denen sich Anwender allein über das Aufrufen einer legalen Webseite infizieren. Dabei entdeckten die Experten von Kaspersky Lab eine Malware-Verbreitungsart, bei der Cyberkriminelle so genannte Cascading Style Sheets (CSS) zur Speicherung von Dateninformationen über Skript-Downloader einsetzen. Dies erschwert die Erkennung schädlicher Skripte für viele Antiviren-Lösungen erheblich. Diese Methode kommt heute in den meisten Drive-by-Downloads zum Einsatz. Cyberkriminelle schützen auf diese Weise ihre zu ladenden Exploits vor Entdeckung.
Im Zuge eines Drive-by-Downloads wird von einer infizierten Webseite - in der Regel mit Hilfe eines IFrames - eine automatische Weiterleitung auf eine Seite durchgeführt, die CSS und einen schädlichen Skript-Downloader enthält. In den Top 20 der Internet-Schädlinge für Februar sind gleich drei solcher Programme vertreten: Trojan-Downloader.HTML.Agent.sl (1. Platz), Exploit.JS.StyleSheeter.b (13. Platz) und Trojan.JS.Agent.bte (19. Platz). Die Skript-Downloader auf den infizierten Webseiten starten zwei Typen von Exploits. Einer davon nutzt die Sicherheitslücke CVE-2010-1885 aus und wird von Kaspersky Lab als Exploit.HTML.CVE-2010-1885.ad identifiziert (4. Platz). Dieser Exploit wurde täglich auf durchschnittlich 10.000 verschiedenen Computern entdeckt.
Die statistischen Daten des Kaspersky Security Networks zeigen, dass bei 58.000 Nutzern Sicherheitslücken in PDF-Dateien entdeckt wurden. Die Ausnutzung von Schwachstellen in PDF-Dateien ist aktuell eine der beliebtesten Methoden, um Schädlinge auf Computern zu platzieren. Eines dieser PDF-Exploits - Exploit.JS.Pdfka.ddt - belegte im Februar den 8. Platz im Rating der Top-Schadprogramme im Internet. (rw)