Los nuevos virus viajan en archivos PDF
El popular formato de archivo PDF de Adobe, conocido por cualquiera que haya solicitado un formulario de impuestos en el sitio web del IRS, generalmente se ha considerado inmune a los virus. Pero un nuevo virus transportado por programas incrustados en archivos PDF plantea la preocupación de que el formato en sí podría volverse susceptible.
El martes por la mañana, la división antivirus de McAfee de Network Associates se dio cuenta del primer virus, conocido como «Peachy», que utiliza PDF para propagarse, dijo Vincent Gullotto, director sénior del grupo Avert de McAfee.
Afortunadamente, aquellos que simplemente están viendo un archivo PDF o en formato de Documento Portátil no son vulnerables. El virus se propaga solo a través del software Acrobat de Adobe, el programa utilizado para crear documentos PDF, no a través de Acrobat Reader, el programa gratuito que se utiliza para ver los archivos.
» No hay forma de que esto afecte a Acrobat Reader», dijo Sarah Rosenbaum de Adobe, directora de gestión de productos de Acrobat. «El código de Acrobat que reconoce los archivos adjuntos no existe en Reader.»
Peachy explota una función de Acrobat que permite a las personas incrustar otros archivos dentro de un PDF, archivos adjuntos que solo pueden abrir las personas que usan Acrobat.
«En este momento se considera que es un riesgo bajo porque no hemos visto que nos lo informe un cliente», dijo Gullotto de Network Associates.
Pero el virus Peachy plantea el problema de que los archivos PDF, ampliamente utilizados para mostrar documentos en navegadores web y correo electrónico, podrían convertirse en un nuevo canal para propagar virus.
» Lo que me preocupa aquí es que esto podría ser una nueva frontera», dijo Richard Smith, director de tecnología de la Fundación de Privacidad. «Se considera un formato de archivo seguro.»Smith publicó noticias del virus en la lista de correo de seguridad de Bugtraq el martes.
Está claro que si Adobe modificara futuras versiones de Reader para que pudiera leer archivos adjuntos incrustados en archivos PDF, el programa podría ser víctima de Peachy’s descendents.
Rosenbaum dijo que, si bien es posible que Adobe agregue capacidad de manejo de archivos adjuntos en futuras ediciones de Acrobat Reader, la compañía no tiene planes inmediatos para hacerlo.
Smith dijo que cree que el software Acrobat Reader podría resultar susceptible en cualquier caso. De hecho, el Equipo de Respuesta a Emergencias Informáticas publicó noticias de una vulnerabilidad en la versión para Windows de Acrobat en noviembre de 2000 que podría permitir que un atacante externo tomara el control de la computadora de una persona que simplemente veía un archivo PDF. Adobe parcheó ese agujero.
Adobe dijo que cualquier software popular se convierte en un objetivo para ataques de seguridad y Acrobat ha cruzado ese umbral.
«creo que la atracción…ha alcanzado un nivel crítico recientemente», dijo Rosenbaum. «Solo ha sido en los últimos 18 a 24 meses que el PDF…el uso ha explotado.»
Cómo funciona Peachy
Acrobat permite a las personas incrustar diferentes tipos de archivos dentro de un PDF, incluyendo todo, desde los programas VBScript, utilizados en el virus LoveLetter, hasta un programa ejecutable real, dijo Gullotto.
Peachy lleva el nombre de un pequeño juego en un archivo PDF que implica encontrar melocotones, dijo Gullotto. De acuerdo con una persona llamada Zulu, quien dijo que escribió Peachy, mostrando la solución al juego se ejecuta un archivo VBScript.
El virus luego se propaga a otros utilizando direcciones de correo electrónico recopiladas de Microsoft Outlook, dijo Gullotto. Ocultar el archivo VBScript en un documento PDF evita los filtros de las versiones más recientes de Outlook que normalmente eliminan los archivos VBScript.
Sin embargo, estas versiones más recientes de Outlook, como Outlook 2002 o aquellas que han sido parcheadas con una actualización de seguridad, toman medidas que obstaculizan virus como Peachy, dijo David Jaffe, gerente de productos líder de Microsoft Office. Aunque los archivos PDF, y cualquier programa incrustado que esté oculto en ellos, no se eliminan, Outlook advierte al usuario cuando un virus u otro proceso automatizado intenta acceder a la libreta de direcciones de Outlook o usar el programa para enviar correos electrónicos, dijo Jaffe.
A través de un acuerdo con Adobe anunciado en junio, el software de McAfee puede escanear archivos PDF, dijo Gullotto. Sin embargo, al igual que con otros tipos de virus, el software no siempre es capaz de detectar nuevos virus hasta que se actualicen sus definiciones.
Las descripciones de virus actualizadas publicadas por McAfee la próxima semana podrán detectar a Peachy, dijo Gullotto.
Pero Adobe no tiene previsto impedir la ejecución de VBScript u otros archivos.
Para evitar que Peachy pueda ejecutarse, » el cambio que tendríamos que hacer es no permitir archivos adjuntos VBScript. Eso es un problema para muchos de nuestros clientes», dijo Rosenbaum. «Si cambian de opinión, haremos lo que quieran.»
Las personas con la versión completa de Acrobat tendrán que tener cuidado al abrir archivos adjuntos a archivos PDF. Sin embargo, abrir archivos adjuntos no es automático: un cuadro de diálogo de advertencia pregunta si una persona desea continuar.