Neuer Virus reist in PDF-Dateien

Das beliebte PDF-Dateiformat von Adobe, das jedem bekannt ist, der jemals ein Steuerformular auf der IRS-Website aufgerufen hat, wurde im Allgemeinen als immun gegen Viren angesehen. Ein neuer Virus, der von in PDF-Dateien eingebetteten Programmen übertragen wird, wirft jedoch Bedenken auf, dass das Format selbst anfällig werden könnte.

Am Dienstagmorgen wurde die McAfee Antivirus-Abteilung von Network Associates auf den ersten Virus aufmerksam – bekannt als „Peachy“ -, der PDF verwendet, um sich zu verbreiten, sagte Vincent Gullotto, Senior Director der McAfee Avert Group.

Glücklicherweise sind diejenigen, die einfach eine PDF-Datei oder ein Portable Document Format anzeigen, nicht anfällig. Der Virus verbreitet sich nur über die Adobe Acrobat-Software – das Programm zum Erstellen von PDF-Dokumenten – und nicht über Acrobat Reader, das kostenlose Programm zum Anzeigen der Dateien.

„Dies hat keine Auswirkungen auf Acrobat Reader“, sagte Sarah Rosenbaum von Adobe, Director of Acrobat Product Management. „Der Code in Acrobat, der Anhänge erkennt, ist in Reader nicht vorhanden.“

Peachy nutzt eine Acrobat-Funktion, mit der Benutzer andere Dateien in eine PDF-Datei einbetten können – Anhänge, die nur von Benutzern von Acrobat geöffnet werden können.

„Im Moment wird es als geringes Risiko angesehen, weil wir nicht gesehen haben, dass es uns von einem Kunden gemeldet wurde“, sagte Network Associates ‚Gullotto.

Der Peachy-Virus wirft jedoch das Problem auf, dass PDF-Dateien, die häufig zur Anzeige von Dokumenten in Webbrowsern und E-Mails verwendet werden, zu einem neuen Kanal für die Verbreitung von Viren werden könnten.

„Ich mache mir hier Sorgen, dass dies eine neue Grenze sein könnte“, sagte Richard Smith, Chief Technology Officer der Privacy Foundation. „Es gilt als sicheres Dateiformat.“ Smith hat am Dienstag Nachrichten über den Virus in der Bugtraq-Sicherheits-Mailingliste veröffentlicht.

Es ist klar, dass das Programm Peachys Nachkommen zum Opfer fallen könnte, wenn Adobe zukünftige Versionen von Reader so ändern würde, dass in PDF-Dateien eingebettete Anhänge gelesen werden können.

Rosenbaum sagte, dass es zwar möglich ist, dass Adobe in zukünftigen Editionen von Acrobat Reader die Möglichkeit zur Bearbeitung von Anhängen hinzufügt, das Unternehmen dies jedoch nicht unmittelbar plant.

Smith sagte, er glaube, dass Acrobat Reader-Software in jedem Fall anfällig sein könnte. Tatsächlich veröffentlichte das Computer Emergency Response Team im November 2000 Nachrichten über eine Sicherheitsanfälligkeit in der Windows-Version von Acrobat, die es einem externen Angreifer ermöglichen könnte, die Kontrolle über den Computer einer Person zu erlangen, die einfach eine PDF-Datei angesehen hat. Adobe hat dieses Loch geflickt.

Adobe sagte, dass jede populäre Software ein Ziel für Sicherheitsangriffe wird und Acrobat diese Schwelle überschritten hat.

„Ich denke, die Attraktion…hat in letzter Zeit ein kritisches Niveau erreicht „, sagte Rosenbaum. „Es war nur in den letzten 18 bis 24 Monaten, dass PDF…die Nutzung ist wirklich explodiert.“

Wie Peachy funktioniert
Mit Acrobat können Benutzer verschiedene Dateitypen in eine PDF-Datei einbetten, einschließlich aller VBScript-Programme, die im LoveLetter-Virus verwendet werden, bis hin zu einem tatsächlich ausführbaren Programm, sagte Gullotto.

Peachy ist nach einem kleinen Spiel in einer PDF-Datei benannt, bei dem Pfirsiche gefunden werden, sagte Gullotto. Laut einer Person namens Zulu, die sagte, er habe Peachy geschrieben, zeigt die Lösung für das Spiel eine VBScript-Datei.

Das Virus breitet sich dann auf andere mit E-Mail-Adressen von Microsoft Outlook gesammelt, Gullotto sagte. Das Ausblenden der VBScript-Datei in einem PDF-Dokument umgeht die Filter in neueren Versionen von Outlook, die normalerweise VBScript-Dateien ausblenden.

Diese neueren Versionen von Outlook, wie Outlook 2002 oder solche, die mit einem Sicherheitsupdate gepatcht wurden, ergreifen jedoch Maßnahmen, die Viren wie Peachy behindern, sagte David Jaffe, Lead Product Manager für Microsoft Office. Obwohl PDF-Dateien – und was auch immer eingebettete Programme in ihnen versteckt sind – nicht aussortiert werden, warnt Outlook den Benutzer, wenn ein Virus oder ein anderer automatisierter Prozess versucht, auf das Adressbuch von Outlook zuzugreifen oder das Programm zum Senden von E-Mails zu verwenden, sagte Jaffe.

Durch eine im Juni angekündigte Vereinbarung mit Adobe kann die Software von McAfee PDF-Dateien scannen, sagte Gullotto. Wie bei anderen Virentypen ist die Software jedoch nicht immer in der Lage, neue Viren zu erkennen, bis ihre Definitionen aktualisiert werden.

Aktualisierte Virenbeschreibungen, die nächste Woche von McAfee veröffentlicht werden, können Peachy erkennen, sagte Gullotto.

Adobe plant derzeit jedoch nicht, die Ausführung von VBScript oder anderen Dateien zu verhindern.

Um zu verhindern, dass Peachy ausgeführt werden kann, „müssten wir VBScript-Anhänge nicht zulassen. Das ist ein Problem für viele unserer Kunden „, sagte Rosenbaum. „Wenn sie ihre Meinung ändern, werden wir tun, was sie wollen.“

Benutzer mit der Vollversion von Acrobat müssen beim Öffnen von Anhängen zu PDF-Dateien Vorsicht walten lassen. Das Öffnen von Anhängen erfolgt jedoch nicht automatisch: In einem Warndialogfeld wird gefragt, ob eine Person fortfahren möchte.