O truque envolve esconder um exploit do Adobe Reader comum num arquivo PDF comum que aparece ao software antivírus como uma imagem inofensiva
Os criminosos começaram a usar uma imagem obscura para tornar todos os arquivos PDF maliciosos, mas invisível para muitos programas de antivírus, Avast (empresa de segurança de software), disse.
O truque envolve esconder um exploit do Adobe Reader comum um arquivo comum PDF (Portable Document Format) por codificação com o filtro JBIG2Decode, normalmente utilizada para minimizar o tamanho dos arquivos ao incorporar monocromática TIFF (Tagged Image File Format) imagens dentro de PDFs.
[Saiba como bloquear o vírus, worms e outros malwares que ameaçam seu negócio, com as mãos sobre o conselho de contribuintes InfoWorld especialista em "Malware Deep Dive" InfoWorld guia em PDF. ]
Como o conteúdo aparece para o software antivírus como uma imagem TIFF inofensivo bidimensional, o exploit passa despercebido.
"Quem teria pensado que um algoritmo puro de imagem poderia ser usado como um filtro padrão em qualquer fluxo de objeto que você quer?", Disse o analista de vírus Avast, Jiri Sejtko, em um blog. "E essa é a razão pela qual o scanner não foi bem sucedido na decodificação do conteúdo original. O qual não esperava tal comportamento"
Parte do problema foi o espaço oferecido pela especificação PDF para usar filtros, como JBIG2Decode de forma inusitada, e até mesmo para usar vários deles ao mesmo tempo em camadas, disse ele.
A vulnerabilidade TIFF sendo alvo é CVE-2010-0188 de fevereiro de 2010, o que afeta as versões do Adobe Reader 9.3 ou anteriores em execução no Windows, Mac e Unix. As versões atuais, Reader X 10.x, não são afetados, embora muitos usuários continuam usando versões mais antigas.
Além disso, os pesquisadores acreditam que a técnica Avast de filtro JBIG2Decode, está sendo usado para esconder outros malwares, inclusive, um exploit de fonte TrueType de setembro de 2010 afetando Reader 9.3.4 sendo executado em todas as plataformas.
Traduzido de http://mcaf.ee/68rjs
Desculpem qualquer erro de tradução
Leandro Santos
Nenhum comentário:
Postar um comentário