Rotlichtalarm: Mit Sex- und Gangbang-Suche im Internet zur PDF-Attacke

Der Sicherheitsexperte G Data Security Labs warnte Onliner am Montag vor der Suche nach Pornoseiten, deren Domain-Name sich aus Begriffen wie "Sex, free, Porno, Video, GangBang oder Nudes" zusammensetzen. Die Bezeichnungen der Domains kombinieren einschlägige Sex-Begriffe , die über eine Sicherheitslücke im Adobe Acrobat Reader Benutzersysteme mit Schadsoftware infizieren sollen. Die Betreiber der schädlichen Seiten nutzen flankierend Methoden der Suchmaschinenoptimierung, um eine bessere Platzierung in der Rangfolge von Suchmaschinenergebnissen zu erhalten.

Der Sicherheitsexperte G Data Security Labs warnt Onliner vor der Suche nach Pornoseiten, deren Domain-Name sich aus Begriffen wie "Sex, free, Porno, Video, GangBang oder Nudes" zusammensetzen. Die Bezeichnungen der Domains kombinieren einschlägige Sex-Begriffe , die über eine Sicherheitslücke im Adobe Acrobat Reader Benutzersysteme mit Schadsoftware infizieren sollen. Die Betreiber der schädlichen Seiten nutzen flankierend Methoden der Suchmaschinenoptimierung, um eine bessere Platzierung in der Rangfolge von Suchmaschinenergebnissen zu erhalten.

Die Webseiten der Domains enthalten Inlineframes, die auf ein schädliches PDF-Dokument eines chinesischen Malwareverbreitungsservers verweisen und in der Standardkonfiguration verbreiteter Browser mit Acrobat-Plugin automatisch geladen werden, sobald ein Besucher die Seite aufruft, erklärt G Data das Vorgehen der Malware-Verbreiter.

Die Antivirus-Produkte von G Data erkennen die PDF-Datei als "JS:Pdfka-FS", bei eingeschaltetem Wächter sind G Data Kunden vor einer Infektion geschützt. Eine Analyse von virustotal.com bescheinigt alnlerdings lediglich eine Erkennung durch 14 von 40 überprüften Antivirus-Engines (Stand: 28.05.2009).

So wie andere aktuelle Schädlinge, die Schwachstellen im PDF-Format ausnutzen, versteckt das Dokument seine schädlichen Funktionen durch eine Kompressionsfunktion. Das entpackte Objekt enthält ein JavaScript, das zunächst einen sogenannten Heapspray ausführt, bei dem der Hauptspeicher der Anwendung mit dem auszuführenden Angriffscode gefüllt wird. Schließlich nutzt das Skript einen Pufferüberlauf in der Collab.getIcon()-Funktion aus, um den vorbereiteten Schadcode auszuführen

Von den Analysesystemen der G Data Security Labs konnten in den letzten Tagen mehrere hundert Domains mit anrüchigen Namen identifiziert werden, die über eine Sicherheitslücke im Adobe Acrobat Reader Benutzersysteme mit Schadsoftware infizieren sollen.

Sicherheit & Internet-Newsletter bestellen

Jetzt bookmarken

Verwandte Themen

Günstig bei www.pearl.de online einkaufen

Meistgelesen

Tests

Ratgeber

News

1. Kino-Kritik: Kill Me Please

Als Suizidwillige mit dem Tod konfrontiert werden, sinnen sie plötzlich nicht mehr auf das Ableben.

2. DECT-Telefon Peaq PDO250 im Test

Mit dem DECT-Telefon Peaq PDP250 schickt die Media-Saturn-Holding das erste Schnurlostelefon Marke Eigenbau ins Rennen. Im Test überzeugt das Peaq PDP250…

3. Kino-Kritik: Marley

So ausführlich wie oberflächlich präsentiert sich "Marley", die 144 Minuten lange Dokumentation über Reggae und Rastafari.

4. Adobe Photoshop Lightroom 4 im Test

Sie haben hunderte von Hochzeitsfotos geschossen und wollen die 50 besten davon zu einem Fotobuch zusammenstellen? Und das alles im Handumdrehen? Genau…

Zur Test-Übersicht

Top 5 Downloads

Recuva

Version: 1.42.544
Lizenz: Freeware
Betriebssystem: Windows

Win7codecs

Version: 3.6.2
Lizenz: Freeware
Betriebssystem: Windows

OnlineTV

Version: 6.2.0.2
Lizenz: Freeware
Betriebssystem: Windows

CCleaner

Version: 3.18.1707
Lizenz: Freeware
Betriebssystem: Windows

Firefox

Version: 13.0 Beta 3
Lizenz: Open Source
Betriebssystem: Windows Linux Mac

Alle Downloads