Wie PDFs scannen?

Wie kann man PDFs auf Viren und Malware scannen? Ich nutze ESET, bin mir aber nict sicher, ob ein Scan damit wirklich ausreicht, um ein PDF vollständig zu durchforsten…

Und zweite Frage: wenn ein schadhaftes PDF ausgedruckt wird, ist dann auch der Drucker infiziert?

Du kannst https://www.virustotal.com/gui/home/search verwenden, um nach dem SHA-256-Hash der PDF-Datei zu suchen. Es ist nicht nötig, die Datei hochzuladen. Es genügt, dass das schon mal jemand anders getan hat. Die Datenbank von Virustotal merkt sich den SHA-256-Hash der Datei und die Scanergebnisse vieler verschiedener Scanner.

Du kannst auch die URL zu einer zur PDF-Datei eingeben. Das kann sinnvoll sein, falls das PDF aus einer öffentlichen Quelle stammt

Falls die Datei bei Virustotal nicht bekannt ist, hilft dieses Tool eher nicht. Für einen Scan müsstest Du das PDF hochladen.

Mich würde interessieren ob die Frage ernst gemeint war, gerade wenn sich jemand frisch anmeldet und dann solch eine Frage, gerade mit dem Ausdruck stellt…

Drucker können sich zwar auch Malware einfangen, aber meiner Kenntnis nach nicht über ein schadhaftes PDF.

Die Seitenbeschreibungssprache von PDFs basiert auf Postscript, enthält aber nicht dessen „gefährliche“ Anteile. Allerdings können diese eingebettet werden, ebenso wie Javascript. Der Drucker sollte diese Teile aber nicht ausführen können. Eine fehlerhafte Implementierung im Drucker(treiber) wäre theoretisch denkbar, mir sind solche Fälle aber nicht bekannt. Einschlägige Untersuchungen befassen sich dementsprechend nicht mit diesem Angriffsmodell (z.B. https://oaklandsok.github.io/papers/muller2017.pdf).

Der Computer (= der PDF-Viewer und der Browser) kann eingebetteten Code (insbesondere Javascript) aber ausführen, deshalb sind PDFs ein gängiger Angriffsvektor!

1 „Gefällt mir“

Vielen Dank! Klar war die Frage ernst gemeint…

Ich habe meinen Laptop jetzt nochmal mit ESET Tiefenscan geprüft und es wurde nichts gefunden. Meint Ihr, das reicht? Ich wollte in eigentlich eh mal auf Werkseinstellungen zurücksetzen und neu aufsetzen - würde das auch evtl Malware entfernen?

Was kam denn bei der Überprüfung der PDF wie von @ElPink beschrieben raus?

1 „Gefällt mir“

Virustotal hat nichts Verdächtiges gefunden bei der url Suche. Ich würde aber trotzdem meinen Laptop zurücksetzen wollen, das hatte ich eh schon aus anderen Gründen vor, nur weiß ich eben nicht, ob das wirklich jeden Virus/Malware entfernen würde, falls vorhanden.

Nur als Nebenbemerkung: Javascript habe ich ausgeschaltet in meinem Reader. Und wenn ich zweifelhafte pdf überhaupt ansehen will, dann nehme ich Sumatra als Reader.

Ist bei Sumatra Javascript immer noch standardmäßig deaktiviert? Und hat der irgendwelche Vorteile als wenn ich die PDFs mit Firefox betrachte?

Ich sehe nicht, dass Javascript in Sumatra verfügbar wäre (gerade getestet), URL-Aufrufe gehen jedoch.

Danke. Ich hatte auch mal den von Microsoft empfohlenen Scanner genutzt und nach 7 h Prüfung hatte er VirTool: Win32/DefenderTamperingRestore gefunden und entfernt. ESET hatte das ja nicht gefunden. Sagt Euch das was? Im Netz findet man nur sehr unspezifische Dinge dazu…

Nur eine kleine OT-Anmerkung, weil ich das interessant fand:
Hier haben Leute einen Exploit für den Adobe Reader gebaut, indem sie sozusagen „bösartige Schrift“ benutzen: https://github.com/infobyte/Exploit-CVE-2021-21086
Blog-Artikel mit nettem Titel dazu: Who needs JS when you’ve got Turing complete fonts?

1 „Gefällt mir“

Findet alles außer 0days
https://scan.tylabs.com/

In den letzten Jahren gab es keine nennenswerten Sicherheitslücken in Sumatra.
viele Funktionen die für PDF-Exploits verwendet werden, bietet Sumtrapdf gar nicht an.
Sumtra PDF hat wenig zeilen code, da fallen gleich ganze Kategorien potenzieller Angriffe weg.

Wenn ich einen Exploit schreiben würden dann für PDFs die mit Adobe Acrobat Reader oder Google Chrome geöffnet werden. Die wenigen Sumtrapdf nutzer sind kein interessantes Ziel.

URL-Aufrufe und Zugriffe auf das Dateisystem lassen sich mit dieser Police verbieten.
https://github.com/sumatrapdfreader/sumatrapdf/blob/master/docs/sumatrapdfrestrict.ini

Der Defender prüft sich selbst und versucht eine Funktion wiederherzustellen.
Entweder eine falsche konfigurierte Gruppenrichtlinie oder eine Funktion die Du selbst deaktiviert hast und die von der Standard konfig abweicht.