Zeus-Trojaner nutzt PDF-Lücke aus

Sicherheitsexperten von m86-Security haben Spam-Mails entdeckt, die mit verseuchten PDF-Dokumenten versuchen, PCs mit dem Zeus-Trojaner zu infizieren. Die Mails geben sich als Benachrichtigung der Royal Mail aus und weisen darauf hin, man habe eine Postsendung nicht zustellen können. Im Anhang findet sich ein PDF-Dokument, das als "Rechnung" bezeichnet wird. Den Experten zufolge befindet sich in diesem PDF eine zweite PDF-Datei, die, wenn sie ausgeführt wird, den Zeus-Trojaner installiert. Dass dieser Trick funktioniert, liegt nicht an einem Fehler in Adobe Reader oder Foxit - die aktuellen Versionen beider Programme warnen den Nutzer davor, dass er im Begriff ist, eine Datei auszuführen und dass diese Datei für den PC schädlich sein kann - sondern in der PDF-Spezifikation selbst. Der Sicherheitsexperte Didier Stevens hatte herausgefunden, wie sich die "Launch"-Funktion in PDF-Dokumenten so einsetzen lässt, dass sie potenziell schädlichen Code ausführt.

Sicherheitsfachleute erwarten künftig noch weitere Angriffe, die die besagte Schwachstelle ausnutzen. Wer Adobe Reader verwendet, kann die Gefahr für seinen Rechner verringern, indem er in den Voreinstellungen unter "Berechtigungen" das Öffnen von Nicht-PDF-Dateien deaktiviert. Weiteren Schutz bietet - auch für Nutzer von Foxit Reader - das Deaktivieren von Javascript.

Der Zeus-Trojaner macht einen infizierten Rechner zum Mitglied im Zeus-Botnetz, das es darauf anlegt, im großen Stil Daten von kompromittierten PCs zu stehlen. Den Kaspersky Labs zufolge handelt es sich bei Zeus um die derzeit am weitesten verbreiteten Botnetze.