Das Internet Storm Center warnt derzeit vor einer Angriffswelle mit PDF-Dateien, die eine Sicherheitslücke im Adobe Reader und Acrobat besonders raffiniert ausnutzt. Einen Patch gibt es bislang nicht.

Für die Angriffe wird die bekannte Sicherheitslücke CVE-2009-4324 ausgenutzt, die Adobe vermutlich am 12. Januar mit einem Update beseitigen wird. Seit dem Jahreswechsel werden PDF-Dateien verbreitet, die auf den ersten Blick sehr harmlos wirken. Das Internet Storm Center hat den Shellcode analysiert und festgestellt, dass zwei schädliche Dateien enthalten sind.

Öffnet man die Angriffs-PDF, so stürzt der Adobe Reader ab. Um kein Misstrauen auf Seiten der Anwender zu erzeugen, wird eine zweite Datei namens baby.pdf geöffnet. Darum kümmert sich die eingebettete Datei temp.exe. Der eigentliche Schadcode befindet sich in der suchost.exe. Die baby.pdf enthält eine leere mit Microsoft Excel erstellte Tabelle.

Laut dem Internet Storm Center haben zum Jahreswechsel gerade einmal sechs von 40 Virenscannern den Angriff erkannt. Die eingebettete suchost.exe dagegen wird inzwischen von den meisten Programmen erkannt. Einen effektiven Schutz gegen die Sicherheitslücke gibt es bislang nicht. Wer PDF-Dateien aus unbekannten Quellen öffnen muss, sollte bis zum 12. Januar einen alternativen PDF-Reader einsetzen.