Pdfs und Viren

Internet Internet Sicherheit
#1

Hallo Ihr, bzw besonders Thomas Fischbach, falls Du mitliest:

Ich hatte vor einer Woche geschrieben, dass ich pdfs, die ich bekommen hatte, in Foxit Reader nicht öffnen konnte. Stattdessen gab es die Fehlermeldung ‚This file is damaged and could not be repaired‘.

Mit Adobe Reader konnte ich sie dann öffnen. Es kam die Meldung ‚Die Datei ist beschädigt. Sie wird repariert‘.

Bei allen anderen, die diese pdfs bekommen hatten, gab es keinerlei Fehlermeldungen; sie öffneten ganz normal.

Die Person, von der ich die pdfs hatte, behauptet, bei pdfs gäbe es keine Viren, das sei ja schliesslich der Grund, warum man Dateien als pdf verschicke (und ich dachte immer, der Grund sei, weil man so das Dokument nicht nachträglich verändern kann…).

Nun, Thomas Fischbach schrieb in seiner Antwort aber unter anderem:

‚…und immer die aktuellste Acrobat-Reader-Version laufen lassen. Der Reader ist ein nicht nur potentielles Sicherheitsrisiko.‘

Könnte mir hier jemand erklären, inwiefern pdfs ein Sicherheitsrisiko sein können? Und warum diese spezifischen pdfs anderswo problemlos öffneten, auch auf PCs mit sicherem Virenschutz?

Und kann mein System überempfindlich oder beschädigt sein, und eine pdf-Datei für beschädigt halten (in beiden Programmen, Foxit Reader und Acrobat Reader!)?

Würde mich über ein paar Erklärungen sehr freuen! Vielen lieben Dank im Voraus,

Gruss, isabel

PS an Thomas: mittlerweile habe ich einen kompletten Virenscan gemacht - nichts ausser 3 Warnungen, die jeweils die usb sticks mit dem Trojaner waren. Zugriff wurde jedes Mal verweigert.

#2

Hallo Isabel!

Bei allen anderen, die diese pdfs bekommen hatten, gab es
keinerlei Fehlermeldungen; sie öffneten ganz normal.

Vielleicht ist beim Transport und/oder beim Empfangen etwas schief gegangen. Und daher waren die betreffen Dateien defekt.

Die Person, von der ich die pdfs hatte, behauptet, bei pdfs
gäbe es keine Viren, das sei ja schliesslich der Grund, warum
man Dateien als pdf verschicke (und ich dachte immer, der
Grund sei, weil man so das Dokument nicht nachträglich
verändern kann…).

Es ist normalerweise der von dir erwähnte Grund. Man möchte oft, dass der Empfänger das Dokument genauso sieht, wie man es erstellt hat. Mit den erweiterten Funktionen (Verschlüsselung) von PDF kann man es auch mit einem Passwort schützen und zum Beispiel auch das Drucken oder das Entnehmen von Text (Strg-C + Strg-V) verbieten.
Grundsätzlich bietet das Format aber auch Schutz vor sogenannten Makroviren. Das sind kleine Programme, die vorallem in Word- und Excel-Dokumenten vorkommen können. Normalerweise erledigen diese Makro Aufgaben, die der Dokumentersteller programmiert hat. Bei infizierten Rechnern, kann es aber auch sein, dass Schadcode in die Worddatei hineinkopiert wird. Jeder der das dann öffnet, führt diesen Schädling sofort aus(1).

‚…und immer die aktuellste Acrobat-Reader-Version laufen
lassen. Der Reader ist ein nicht nur potentielles
Sicherheitsrisiko.‘

Da liegt Thomas ganz richtig. In jeder(2) Software existieren Bugs. Manche davon sind so kritisch, dass man die Fehler ausnutzen kann und böse Dinge anstellen kann. Die meisten Softwarehersteller geben daher von Zeit zu Zeit Updates heraus, die die gefundenen Fehler behebt. Spielt man diese Aktualisierungen aber nicht ein, kann es eben dazu kommen, dass die Fehler zum Beispiel von präparierten Dokumenten ausgenutzt werden.

Könnte mir hier jemand erklären, inwiefern pdfs ein
Sicherheitsrisiko sein können?

Das Sicherheitsrisiko liegt darin, dass PDFs mittlerweile auch Programmcode (JavaScript) enthalten können(3). Auch der macht normalerweise nur so Dinge, wie Formulareingaben auf Richtigkeit zu überprüfen usw. Aber bösartiger Code kann dann eben auch die oben erwähnten Sicherheitslücken ausnützen.

Und warum diese spezifischen pdfs anderswo problemlos
öffneten, auch auf PCs mit sicherem Virenschutz?

Ich tippe daher eher auch einen Fehler bei der Übermittlung.

PS an Thomas: mittlerweile habe ich einen kompletten Virenscan
gemacht

Ich kenne deine ursprüngliche Anfrage und die Antworten darauf nicht. Aber hast du die betreffenden Dokumente schon einmal bei „Jotti“(4) hochgeladen. Auf dieser Webseite werden die hochgeladenen Dateien mit dutzenden Virenscannern gleichzeitig geprüft. Sollte hier keiner anschlagen, kann man wohl davon ausgehen(5), dass keine Gefahr vorliegt.

nichts ausser 3 Warnungen, die jeweils die usb
sticks mit dem Trojaner waren. Zugriff wurde jedes Mal
verweigert.

„Nichts außer drei Warnungen“? Und du erwähnst etwas von Trojanern? Da würde ich extra vorsichtig sein. Trojaner haben nämlich die Eigenschaft, dass sie sich vor den installierten Virenscannern verstecken.
In deinem Fall würde ich mir eine LiveCD mit Virenscannern organisieren, den Rechner damit zu booten, die Virendatenbanken über das Internet zu aktualisieren und dann von der CD aus die Festplatte zu überprüfen.

mfg
christoph

#3

Hallo Isabel!

Hier folgen nun die Fußnoten, die zuerst noch vergessen habe:

  1. Das kann man Word und Excel aber auch abgewöhnen. So dass die Makros nicht automatisch ausgeführt werden.

  2. Man kann nämlich nicht nachweisen, dass keine Fehler drinnen sind. Man kann zwar viele Test usw. durchführen. Absolute Gewissheit, das keine drinnen sind, hat man aber nicht.

  3. Auch das kann man dem Acrobat Reader abgewöhnen. Dann führt er ganz einfach kein JavaScript mehr aus.

  4. http://virusscan.jotti.org/de

  5. Es kann nur sein, dass der in einer Datei versteckte Virus noch von keinem Anti-Viren-Herstellern entdeckt wurde. Dann können die Scanner natürlich auch nichts melden.

mfg
christoph

#4

„Nichts außer drei Warnungen“? Und du erwähnst etwas von
Trojanern? Da würde ich extra vorsichtig sein. Trojaner haben
nämlich die Eigenschaft, dass sie sich vor den installierten
Virenscannern verstecken.
In deinem Fall würde ich mir eine LiveCD mit Virenscannern
organisieren, den Rechner damit zu booten, die
Virendatenbanken über das Internet zu aktualisieren und dann
von der CD aus die Festplatte zu überprüfen.

Hi, und vielen Dank für Deine Antwort!
Jetzt verstehe ich auch Thomas’ Rat mit der Live CD. Ich hatte nachgefragt, was der Unterschied ist zu meinem normalen Virenscanner, hatte aber keine Rückantwort bekommen.

Dann werd’ ich das wohl mal machen.

Zu Deinem PS:

  1. Es kann nur sein, dass der in einer Datei versteckte Virus noch von keinem Anti-Viren-Herstellern entdeckt wurde. Dann können die Scanner natürlich auch nichts melden.

Nun ja, mein Antivirusprogramm hat ja eben den Trojaner auf dem usb stick entdeckt und ich habe, wie logischerweise empfohlen, den Zugriff auf den usb Stick verweigert.

Entdeckt wurde er also schon, und bekannt (und wohl etwas älter) ist er auch, scheinbar aber auch ‚harmlos‘ (???) - TR/Dropper.Gen

In meiner ursprünglichen Frage (noch hier im Brett zu sehen, gar nicht so weit unten - erkannter Trojaner, pdfs und Viren, oder so ähnlicher Titel) hatte ich aber auch dazugesagt, dass das Antivirenprogramm zwar berichtete, dass dieser Trojaner auf dem usb stick sei, ich aber, seitdem ich dieselben pdfs per mail bekommen hatte, Probleme mit Mozilla Firefox hatte (und ein paar andere Kleinigkeiten gab’s auch).

Nun ja, ich werd’ dann mal das mit der Live CD machen…

Nur, offen bleibt die Frage, was an meinem System nicht stimmt, wenn die Dateien anderswo tatsächlich als unbeschädigt akzeptiert werden - und ich rede von Rechnern, die aktuellsten Virenschutz haben.

Ach, ich hab’ keine Ahnung von nix. Aber ich werd’ mich da jetzt erstmal Schritt für Schritt durchhangeln.

Many thanks so far!
Gruss, isabel

#5

Hallo Isabel,

wenn Du schreibst, lese ich doch immer mit …

Christophp hat schon wesentliche Antworten gegeben.

Es sind nicht die „PDFs“ - die ja lange Zeit als extrem sicher galten - sondern der Acrobat-Reader.

Diverse Sicherheits-Spezialisten raten immer wieder von der Verwendung des Acrobat-Readers ab. Diese Aussagen sind nicht in jedem Punkt und in jedem Fall überzeugend, die hektischen Sicherheits-Updates der letzen Monate sind aber ein Indiz auf die angesprochenen Probleme.

Siehe auch z.B. hier:

http://www.tecchannel.de/sicherheit/news/2018393/f_s…

oder hier:

http://www.zdnet.de/news/wirtschaft_sicherheit_secur…

usw.

Es ist nicht das Dokument selbst, sondern das Betrachtungs-Programm. Deshalb schrieb ich dir, daß zumindest immer die aktuelle Version eines PDF-Readers installiert sein sollte und es sicherlich mehr als eine Überlegung wert sein solle, einen anderen Reader wie z.B. Foxit zu nutzen.

Natürlich ist auch dieses Programm nicht perfekt, siehe auch hier:

http://www.foxitsoftware.com/pdf/reader/security.htm

Aber die Jungs (und Mädels) scheinen die diesbezüglichen Probleme ein wenig ernster zu nehmen als der Marktführer.

Immer noch keine Antwort auf Deine Frage, warum Du mit beiden Readern das Problem hattest. Kann ich dir so auch nicht geben. Sollte dies wieder auftauchen, kannst Du mir gerne eine „beschädigte Datei“ per Mail zusenden.

Es lohnt sich sicherlich auch, folgendes in Erwägung zu ziehen:

Die „PDF-Datei“ war kein PDF, sondern gab sich nur als solches aus ("doppelte Dateiendungen usw.). Deshalb konnte sie auch nicht von irgendeinem Reader gelesen werden und war „beschädigt“.

In Zukunft: Zweifelhafte Datei z.B. zu http://virustotal.com hochladen und extern überprüfen lassen.

Der Grund für den Einsatz einer Live-Antiviren-CD ist einfach, daß beim Start von einer solchen (sauberes „Betriebssystem“ usw., nicht zu infizieren, da nicht beschreibbar usw.) bereits vorhandene Schädlinge keinen Einfluß nehmen können. Es gibt durchaus Trojaner, und erst recht Rootkits, die bei einem Durchlauf auf einem bereits infizierten System grinsend behaupten, daß alles in bester Ordnung sei. Wenn Du bereits 3 x eine entsprechende Warnung bei der Nutzung von USB-Sticks bekommen hast und der Zugriff verweigert wurde, bedeutet dies nur, daß es ein Sicherheitsproblem gibt. Keinefalls kannst Du sicher sein, daß alle Angriffe erkannt wurden.

Deshalb unbedingt - PDF hin und her - einen kompletten Virenscan, besser mit mehreren Programmen - machen.

Schönen wochenanfang wünscht

Thomas

der immer noch meint, daß Sicherheit kein Zustand, sondern ein Prozeß ist.

#6

Hallo Isabel!

Ich habe mir jetzt deine ursprüngliche Anfrage durchgelesen. Jetzt verstehe ich deine zweite Anfrage natürlich besser. Was mir aber aufgefallen ist: Entweder möchte dir die Person absichtlich einen Trojaner anhängen (wobei ich natürlich einfach so, niemandem etwas unterstellen kann) oder aber derjenige ist von seinen „Computerkenntnissen“ so überzeugt, dass er gar nicht damit rechnet, dass auch sein Computer mit Schadsoftware befallen ist.

Ich gehe fairerweise vom zweiten Fall aus. Auch ich kenne genug Leute, die behaupten, dass ihnen selbst nie ein Trojaner, Virus oder was auch immer treffen kann, da sie ja sowieso Virenscanner haben. Leider reicht das nicht immer aus.
Und dann kommt es offenbar zu solchen Situationen, wo man Anderen einredet, dass PDFs ganz sicher keinen Virus beinhalten können (wovon ich in deinem Fall aber sogar ausgehe) oder das es eh nur ein Trojaner am USB-Stick ist, der eh erkannt wurde. Das nenne ich dann gefährliches Halbwissen.

…, ich aber, seitdem ich dieselben pdfs
per mail bekommen hatte, Probleme mit Mozilla Firefox hatte
(und ein paar andere Kleinigkeiten gab’s auch).

Ich gehe optimistischerweise davon aus, dass diese Probleme ganz unabhängig von den PDFs sind. Manchmal macht die Software komische Sachen, wo man dann gleich Schadsoftware verdächtigt. Ist mir selbst auch schon so gegangen. Aber wenn man das dann in Ruhe mit etwas Abstand betrachtet und ordentlich analysiert kommt man meist auf irgendein harmloses Problem drauf.

Nun ja, ich werd’ dann mal das mit der Live CD machen…

Das mach’ auf jeden Fall. Thomas hat dir ja eh schon einen Link gegeben. Auf die Schnelle habe ich auch den gefunden: http://www.pcwelt.de/start/sicherheit/antivirus/news… Zur Sicherheit einfach beide laufen lassen.

Nur, offen bleibt die Frage, was an meinem System nicht
stimmt, wenn die Dateien anderswo tatsächlich als unbeschädigt
akzeptiert werden - und ich rede von Rechnern, die aktuellsten
Virenschutz haben.

Wie oben schon erwähnt, meine Vermutung ist, dass nicht die PDFs das Problem sind. Eher schon der gefundene „Trojaner“ auf den USB-Sticks.

Ach, ich hab’ keine Ahnung von nix. Aber ich werd’ mich da
jetzt erstmal Schritt für Schritt durchhangeln.

Wenn du auf der ganz sicheren Seite bleiben willst und dazu auch noch einen echten Fachmann in deinem Bekanntenkreis, dann würde ich vorschlagen, den Computer neu aufzusetzen.
Dazu würde ich einfach vorher mit einer Linux-LiveCD alle privaten Daten sichern, dann die Festplatte komplett löschen und das Betriebssystem neu zu installieren. Dann die vorher an einem vertrauenswürdigen Rechner heruntergeladenen Updates installieren und dann erst das erste Mal ins Internet lassen. Und natürlich alle Software nur von vertrauenswürdigen Webseiten herunterladen.

mfg
christoph

#7

Danke Ihr beiden
Hi Ihr beiden,

erstmal vielen vielen Dank für Eure Mühe, mir einiges verständlicher zu machen.

Nächster Schritt ist nun das mit der live CD. Scheitert momentan an der Tatsache, dass ich meine Rohlinge und ein paar Verlängerungskabel am Freitag wo liegen lassen habe (absichtlich, damit ich nicht noch vollbepackter rumlaufen muss). Dann werd’ ich die wohl abholen gehen müssen bzw gleich ne neue Ladung kaufen müssen.

Es ist nicht so, als hätte ich keine weiteren Fragen, aber eins nach dem anderen. Wenn ich das nun in ein paar Tagen alles hinbekommen habe, gibt’s halt wieder 'nen neuen thread.

Aber eine Frage hätte ich jetzt gleich:

Kann die Tatsache, dass ein Trojaner-befallener usb stick in einer meiner usb drives war, und das Antivir diesen erkannte & Zugriff verweigert wurde, zur Folge haben, dass diese usb drive nicht mehr richtig funktioniert?

Käme mir etwas komisch vor.

Aber das allererste Vorkommnis in dieser Saga war, dass die Person, von der später die virenbefallenen sticks kamen, MEINEN usb in SEINEN laptop steckte, um Daten rüberzuziehen, und dieser stick danach erstmal Schrott war. (O Ton der Person: ‚Das hat DEFINITIV nichts mit mir zu tun!‘ O Ton weiter: ‚Gib mir den stick, ich reparier ihn Dir, ich kenne mich damit aus.‘ Das Gegenteil ist ja wohl mittlerweile mehr als erwiesen…)

Nun, ich kaufte mir also nen neuen usb stick (gerade erst), und dieser wird von meiner drive nicht erkannt (‚Legen Sie einen Datenträger ein‘). Morgen bringe ich ihn zurück (und kauf’ dabei gleich 'n paar neue Rohlinge!). Vielleicht ist es ja einfach purer Zufall, dass ich ausgerechnet jetzt nen kaputten usb stick gekauft habe. Mein Drucker steckt in der drive und funktioniert. Meine heilen usb sticks traue ich mich z.Zt. nicht, in diese drive zu stecken.

???

Nochmals 1000Dank & gruss,
Isabel