Vor einer neu entdeckten Masche, mit der sich Malware vor der Erkennung versteckt, warnt das japanische CERT. Ein schädliches Word-Dokument wird dabei in einer PDF-Datei versteckt. Diese Technik wird von den IT-Forschern "MalDoc in PDF" genannt. Viele Virenscanner und Analysetools finden solch versteckte Malware nicht.

Angriffe über MalDoc hat das JPCERT im Juli dieses Jahres entdeckt, wie die IT-Sicherheitsforscher in einem Blogbeitrag schreiben. Obwohl ein "MalDoc in PDF" die sogenannten Format-anzeigenden Magicbytes und Dateistruktur von PDF nutze, lässt es sich mit Word öffnen. Sind Makros in der Datei enthalten, werden diese ausgeführt, auch bösartige Aktivitäten. Eine automatische eingestellte Makrosperre umgeht der Angriff allerdings nicht. Im beobachteten Fall lautete die Dateiendung .doc. Wurde in Windows Word als Dateihandler für .doc-Dateien konfiguriert, öffnet die Software daher die "MalDoc in PDF"-Dateien.

PDF-Analysetools erkennen die bösartigen Teile in der Datei höchstwahrscheinlich nicht, wie die IT-Sicherheitsforscher weiter ausführen. Wenn die Datei in PDF-Viewern oder ähnlicher Software geöffnet werde, kämen die schädlichen Makros nicht zur Ausführung. Gängige Sandboxen oder Antivirensoftware könnten die Datei nicht erkennen, da sie aufgrund der Magicbytes als PDF erkannt wird.

Die IT-Forscher schlagen als Gegenmaßnahme vor, verdächtige Dokumente etwa mit OLEVBA zu untersuchen. Die eingebetteten Makros können ausgeworfen und damit die bösartigen Teile der Datei weiter analysiert werden. Es ist wichtig, dass IT-Verantwortliche eine Warnung vor Makros durch das öffnende Programm auch bei MalDoc-in-PDF-Dateien ernst nehmen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE