Zločinci začali používať temný obrazový filter na to, aby škodlivé súbory PDF boli pre mnohé antivírusové programy neviditeľné, uviedla česká bezpečnostná firma Avast Software.
Trik spočíva v skrytí bežného využitia programu Adobe Reader vo vnútri súboru PDF (formát prenosného dokumentu) jeho kódovaním pomocou filtra JBIG2Decode, ktorý sa zvyčajne používa na minimalizáciu veľkostí súborov pri vkladaní monochromatických obrázkov TIFF (formát označeného obrázkového súboru) do súborov PDF.
[Zistite, ako blokovať vírusy, červy a ďalší malware, ktoré ohrozujú vaše podnikanie, pomocou praktických rád od odborných prispievateľov v príručke PDF „Malware Deep Dive“. ]
Pretože sa obsah javí pre antivírusový softvér ako neškodný dvojrozmerný obraz TIFF, škodlivé zneužitie zostáva nepovšimnuté.
"Kto by si myslel, že algoritmus čistého obrazu by sa mohol použiť ako štandardný filter pre akýkoľvek prúd objektov, ktorý chcete?" uviedol vo svojom blogu analytik vírusov Avast Jiří Sejtko. "A to je dôvod, prečo náš skener nebol úspešný v dekódovaní pôvodného obsahu - také správanie sme nečakali."
Súčasťou problému bol rozsah, ktorý ponúka špecifikácia PDF, na použitie filtrov, ako je JBIG2Decode, neobvyklým spôsobom a dokonca na vrstvové použitie niekoľkých z nich naraz.
Cielenou chybou zabezpečenia TIFF je CVE-2010-0188 z februára 2010, ktorá ovplyvňuje program Adobe Reader 9.3 alebo staršie verzie spustené v systémoch Windows, Mac a Unix. Na súčasné verzie, Reader X 10.x, to nemá žiadny vplyv, aj keď mnoho používateľov bude stále používať staršie verzie.
Vedci z Avastu sa navyše domnievajú, že rovnaká technika filtrovania JBIG2Decode sa používa na skrytie ďalších zneužití, vrátane zneužitia písma TrueType od septembra 2010, ktoré ovplyvňuje aplikáciu Reader 9.3.4 spustenú na všetkých platformách.
"Videli sme, ako sa tento nepríjemný trik používa pri cielenom útoku, a videli sme ho zatiaľ použitý pri relatívne malom počte všeobecných útokov." To je pravdepodobne dôvod, prečo to nikto iný nie je schopný odhaliť, ”uviedol Sejtko. Avast teraz aktualizoval svoj softvér, aby zistil útok JBIG2Decode.
Techniky, ktoré takýmto spôsobom maskujú zneužitie, zostanú pre antivírusové skenery relatívne náročné, pretože si vyžadujú odklepnutie lestu pomocou vyhradeného algoritmu, a nie jednoduchého podpisu.
Sejtko uviedol, že vedci Avastu budú diskutovať o použití filtrov na skrytie zneužitia na nadchádzajúcom workshope Caro 2011, ktorý sa uskutoční 5. - 6. mája v Prahe.
