File Pdf e Virus

Sistemi sempre più sofisticati per costringerci all'errore mentre leggiamo la nostra posta. Ora virus maligni nascosti da, apparentemente, innocui file Pdf!

Alzi la mano chi non ha mai aperto un file PDF dalla propria email: penso nessuno. Proprio per questo motivo, al giorno d'oggi, è molto più facile per gli hacker far aprire un file PDF apparentemente innocuo, invece che ormai i troppo comuni usati .exe. Tutti pensano che siano abbastanza sicuri immaginando di aprire semplici documenti e nient'altro.
Purtroppo, invece, ci sono varie vulnerabilità nei software di lettura dei PDF che consentono all'attaccante di infettare in maniera semplice e con un alta percentuale di successo un computer con un semplice file PDF, magari allegato ad una banale email. Quindi non è solo agli .exe che dovete fare attenzione!

Ecco, passo passo, come un malware in un PDF viene trovato ed eliminato dagli esperti. Capire il processo vi aiuterà a comprendere quando è meglio non aprire un file PDF.

Inclusione di codice maligno all'interno del PDF
Uno dei metodi più usati è quello di includere direttamente un codice maligno nel PDF, piccolo per evitare di essere rilevato dagli antivirus ma efficace e dannoso, e molte volte “espandibile”.
Infatti, solitamente più è grosso il codice del malware, più è probabile che un antivirus lo riveli come dannoso. Gli hacker “allegano” in maniera nascosta un piccolo programma all'interno del PDF, di solito uno script Shell in codice macchina oppure un semplice codice Javascript, il cui scopo è quello di scaricare ed eseguire programmi dannosi ospitati su qualche strano server su Internet. Ogni giorno, migliaia di questi siti vengono scoperti ed eliminati, ma è anche vero che altrettanti ne vengono costruiti, in maniera sempre più evoluta. E' quindi bene stare molto attenti ad ogni documento che si apre.

Hosting del Malware
I ricercatori e sviluppatori di Antivirus, nel momento in cui individuano un malware, lo eseguono in una sandbox o meglio area virtuale, dove i malware non hanno nessun effetto, analizzano il codice per implementarlo nel futuro aggiornamento dell'antivirus. Per questo e più motivi è opportuno tenere gli antivirus sempre aggiornati all'ultimo database.
Gli analizzatori, quindi, una volta che capiscono come funziona il malware, trovano come può effettivamente danneggiare il computer (per esempio, usare il computer come proxy per attività illegali, installare un keylogger per rubare dati, password e numeri di carte di credito, o usare il computer come nodo di una botnet).
Tale conoscenza può aiutarli inoltre a “fixare” i bug, in modo che, quel codice maligno, non abbia più alcuna possibilità di essere iniettato in nessun PDF.

Vulnerabilità del PDF Reader
I ricercatori vogliono principalmente capire come sia possibile che il malintenzionato sia riuscito ad inserire il codice maligno nel PDF, in modo da offrire un migliore servizio per le successive versioni del lettore PDF.
Gli autori di questi così detti “exploit” forzano il programma stessa attraverso, per esempio, una richieste legittima di una risorsa che in realtà non esiste, e nella quale al suo posto, entra in gioco il codice maligno.

In sostanza, come evitare i malware nei PDF e tenersi alla larga da brutti guai?

– Aggiornare sempre all’ultima versione del proprio lettore PDF. Consigliamo Adobe Reader oppure il leggero Foxit Reader
Diffidate da PDF allegati in email da sconosciuti
– Usate una virtual box, come Sandboxie (link), per aprire e leggere il file
– Fate una scansione totale con il sito VirusTotal (link) del file PDF

Da segnalare, che proprio il software gratuito e leggero,
Foxit Reader, ha recentemente inserito (dalla versione 3.3) un “Trust Manager” che blocca istantaneamente tutti i comandi esterni che vengono eseguiti quando un PDF è infetto. Foxit Reader consente all'utente di negare o anche abilitare (nel caso voglia farsi del male) azioni strane e non autorizzate, trasmissioni dati, strane funzioni Javascript.

Ad ogni modo usate sempre le regole scritte in questo articolo e sarete al sicuro!

Per un commento, idee o suggerimenti su questo articolo clicca qui.

One Response

  1. gandolfi Lauro 1 novembre 2012

Lascia un commento e ti risponderò!

Il tuo indirizzo email non sarà pubblicato.