PDF Malware Scanner | JavaScript + Makros | LegalAudit

Moderne PDF Malware ist selten ein einfacher Virus. Sie ist ein Launcher: ein abgespecktes PDF, das einen Systemaufruf ausloest, eine Remote-URL oeffnet oder zu einem Office-Makro pivotiert, sobald Sie 'Ja' auf eine Berechtigungsabfrage klicken. Die meisten Antivirus-Engines uebersehen das, weil das PDF selbst technisch gueltig ist — Adobe parst und rendert es einwandfrei. Der PDF Malware Scanner zerlegt die Datei wie ein forensischer Analyst: Objekt fuer Objekt, Stream fuer Stream, dekodiertes JavaScript und Launch-Aktionen in Klartext.

Anders als VirusTotal oder Hybrid-Analysis wird nichts mit Security-Anbietern geteilt oder in Drittsandboxes detoniert, die vertraulichen Inhalt leaken koennten (Rechtsvertraege, medizinische Berichte, Finanzdokumente). Das PDF wird lokal in unserer Schweiz-Pipeline geparst, der Objektbaum in-memory rekonstruiert und danach verworfen. Wenn Sie das forensische Dossier generieren, behalten wir eine hashgesicherte Kopie mit der Analyse; sonst ist die Datei innerhalb 24h weg.

So funktioniert es

PDF hochladen

Drag-and-drop das verdaechtige PDF in Mythos. Max 50 MB im Free Plan, 200 MB im Pro Plan. Wir akzeptieren jede PDF-Version (1.4 bis 2.0) plus verschluesselte PDFs mit Passwort.

~15 Sekunden Parsing abwarten

Mythos extrahiert den Objektbaum, dekodiert jeden Stream, dekompiliert eingebettetes JavaScript und folgt Aktionsketten. Durchschnitt: 12-18 Sekunden fuer ein 5 MB PDF.

Strukturiertes Urteil lesen

Sie erhalten GRUEN / GELB / ROT, eine Liste der spezifischen verdaechtigen Objekte mit Byte-Offsets, dekodierte JavaScript-Snippets in Klartext und eine Empfehlung (blockieren / sandbox / vorsichtig oeffnen).

Dossier generieren (optional)

Fuer Incident-Response Dokumentation oder Weitergabe ans SOC-Team generieren Sie das forensische Dossier — Hash des Original-PDF, dekodierte Objekte als Exponate und ein CVE-Style Write-up.

Was wir erkennen

Eingebettetes JavaScript mit Obfuskation (eval, fromCharCode, escape)

Launch-Aktionen (cmd.exe, powershell.exe, mshta)

OpenAction Auto-Ausfuehrung beim Oeffnen

URI / GoToR Aktionen auf verdaechtige Domains

Eingebettete Dateien (EmbeddedFile Streams) inklusive Office-Makros

Form XObject + AcroForm Exploit-Muster

Verdaechtige Filterketten (FlateDecode + ASCIIHexDecode Obfuskation)

PDF/A vs PDF Diskrepanzen die Manipulation suggerieren

Stream-Entropie-Anomalien (verschluesselte Payload-Marker)

Cross-Reference-Tabellen-Korruption die Injection suggeriert

Haeufig gestellte Fragen

Wie unterscheidet sich das von VirusTotal?

VirusTotal teilt Uploads mit 60+ AV-Anbietern und ist fuer jeden mit API-Zugang durchsuchbar — ein Leak-Vektor fuer vertrauliche Dokumente. Wir machen die Analyse lokal, in-memory, in unserer Schweiz-Pipeline. Nichts wird an AV-Anbieter oder Drittsandboxes weitergegeben. Das Urteil ist auch interpretierbarer: statt '5 von 70 Engines markiert' bekommen Sie das spezifische dekodierte JavaScript-Snippet, das die Klassifizierung ausgeloest hat, mit Byte-Offsets zur eigenen Verifikation.

Kann der Scanner verschluesselte PDFs verarbeiten?

Ja, wenn Sie das Passwort liefern. Wir entschluesseln in-memory, parsen, verwerfen die entschluesselte Form. Der gespeicherte Hash ist das verschluesselte Original. Fuer passwortgeschuetzte PDFs ohne Passwort koennen wir trotzdem Katalog und unverschluesselte Metadaten pruefen, die oft den Bedrohungsvektor aufzeigen.

Was passiert wenn mein PDF wirklich boese ist?

Mythos parst, aber fuehrt niemals aus. Es laeuft kein Acrobat Reader auf unserem Backend, keine JavaScript-Engine, keine Launch-Aktion wird ausgeloest. Die boese Payload bleibt inerter Text. Sie bekommen das Urteil, die dekodierte Payload als Beweis und die Empfehlung, die Datei zu loeschen, Passwoerter zu aendern, falls Sie bereits geoeffnet haben, und einen vollen Endpoint-Scan zu fahren.