Amsterdam, 11 mei 2010
De verspreiding van schadelijke code is in april wederom gestegen en cybercriminelen richten zich voornamelijk op beveiligingslekken in PDF-programma’s. Dat zijn de twee belangrijkste conclusies van G Data’s maandelijkse malware rapport. In april was “JS:Pdfka-OE” de absolute nummer één in de malware top 10. De hoogste nieuwe binnenkomer van de maand was “Win32:Rodecap” [Trj], een trojaans paard dat special ontworpen is om e-maildiensten als Yahoo, Hotmail en Google Mail aan te vallen.

“Het misbruiken van zwakheden in programma’s is een succesvolle manier om computers met malware te infecteren. Hoe meer een bepaalde applicatie gebruikt wordt, des te interessanter wordt het voor malware-schrijvers om de beveiligingslekken ervan uit te baten,” legt Ralf Benzmüller, hoofd van G Data’s SecurityLab uit. “Een ander gevaar dat vaak onderschat wordt, is de Autorun-functie. Er bestaat een heel arsenaal aan malware dat deze functie misbruikt. Een voorbeeld is Worm.Autorun.VHG. Deze veelvoorkomende malware gebruikt Autorun om zichzelf te verspreiden via USB-sticks of externe harde schijven. Wie de Autorun-functie niet echt nodig heeft, kan de functie het beste uitschakelen.”
PDF-documenten gelden normaalgesproken als onschadelijke bestanden, dus op bijna alle computers wordt wel een PDF-reader geïnstalleerd. Echter, de JavaScript-functie maakt van een PDF een potentieel gevaarlijk formaat: een Acrobat JavaScript, dat in een PDF verwerkt zit, wordt misbruikt en ingezet om aanvallen voor te bereiden. Ook kan de JavaScript zelf fouten bevatten, die door aanvallers worden benut om gevaarlijke code naar binnen te loodsen.

Indien mogelijk, is het beter om de JavaScript-functie van de PDF-reader uit te schakelen. Een andere belangrijke maatregel is het goed up-to-date houden van de reader met nieuwe updates, om zo lekken te dichten en beschermd te zijn tegen nieuwe malware-aanvallen.

Methodologie
Het Malware Information Initiative (MII) richt zich op de bescherming van de online community. Elke klant van G Data’s security-oplossingen kan aan het initiatief meewerken. Dit kan door de functie van het MII-feedbacksysteem in het G Data-programma te activeren. Data van gepareerde malware worden dan automatisch en volledig anoniem aan G Data’s SecurityLab gestuurd. Daar wordt de informatie verzameld en geanalyseerd.

Bron: http://www.gdata.nl" onclick="window.open(this.href);return false;

G-Data is een prima AV scanner, maar met dit bericht halen zij hun eigen reputatie naar beneden.
Het opentrappen van wat openstaande deuren:

Hoe meer een bepaalde applicatie gebruikt wordt, des te interessanter wordt het voor malware-schrijvers om de beveiligingslekken ervan uit te buiten

En het doen voorkomen alsof de Malware Information Initiative iets bijzonders is.
Elke zichzelf respecterende AV-producent maakt gebruik van dezelfde methode, maar vindt het niet bijzonder genoeg om daar een interessante naam aan te geven.

En dat kwaadaardige PDF-bestanden de laatste paar maanden veelvuldig worden ingezet door de ' bad guys' was toch al bekend?

Ik wil het echt niet afzeiken, maar dit is geen nieuws.
Is de komkommer-tijd begonnen?

Echter, de JavaScript-functie maakt van een PDF een potentieel gevaarlijk formaat:

Dit is inderdaad geen nieuws, de file format (PDF) wordt hier als negatief en kwaadaardig bestempeld terwijl de beveiliging toch echt bij de eind gebruiker ligt.

Het feit is gewoon dat op de 'huis tuin en keuken' computers geen zorg word besteed aan de juiste beveiliging, er wordt lukraak gebruik gemaakt van allerlei mogelijkheden op het internet, zoals P2P netwerken, Usenet noem maar op.
Hiermee wil ik aangeven dat een bepaald programma of (bestands-type) niet per-sé een (potentieel gevaarlijk) iets hoeft te zijn, het is maar net hoe je het gebruikt en waarvoor.

En in dit bericht staat een mooi stukje wat ik toch even wil citeren..

PDF-documenten gelden normaalgesproken als onschadelijke bestanden, dus op bijna alle computers wordt wel een PDF-reader geïnstalleerd. Echter, de JavaScript-functie maakt van een PDF een potentieel gevaarlijk formaat: een Acrobat JavaScript, dat in een PDF verwerkt zit, wordt misbruikt en ingezet om aanvallen voor te bereiden. Ook kan de JavaScript zelf fouten bevatten, die door aanvallers worden benut om gevaarlijke code naar binnen te loodsen.

Normaal gesproken zijn het onschadelijke bestanden, maar zodra er een PDF reader is geïnstalleerd is het ineens een (potentieel gevaarlijk formaat:), ik snap van dit citaat echt niets en naar mijn mening is dit hetzelfde als de voordeur s'avonds laat open doen zonder te kijken wie er nu daadwerkelijk voor de deur staat, het kan wel een 'serial killer' zijn en om in G Data stijl te blijven een (potentieel gevaarlijke moordenaar).

Maar goed het gaat over het PDF bestandsformaat, en naar mijn mening is het geen (gevaarlijk) bestands=type als je maar weet wat je opent, zo is het nu eenmaal.
Er zijn wel (gevaarlijkere) bestands-type en deze voer je toch ook niet lukraak uit, neem bijvoorbeeld .exe, .com etc etc etc.

De zogenoemde Methodologie snap ik ook niet, waarom wordt een bestand dat als 'kwaadaardig' word aangezien niet gelijk in quarantaine geplaatst, en eventueel (volledig anoniem) verzonden via het (MII-feedbacksysteem).????

Maar ok het is duidelijk dat PDF bestanden gevaarlijk kunnen zijn, net zoals alle andere bestands-type van Windows, dus dit specifieke bericht over (Potentieel gevaarlijke PDF) bestanden is naar mijn zoete mening te summier en niet geheel onderbouwd.
Ik mis onder andere bijvoorbeeld bepaalde herkenningspunten en voorbeelden.