Uusi virus kulkee PDF-tiedostoissa
Adoben suosittu PDF-tiedostomuoto–tiedossa kaikille, jotka ovat koskaan käyttäneet verolomaketta veroviraston verkkosivuilla–on yleensä pidetty immuunina viruksille. Mutta uusi virus kuljettaa ohjelmia upotettu PDF-tiedostoja herättää huolta, että formaatti itse voi tulla altis.
tiistaiaamuna Network Associatesin McAfee antivirus-osasto sai tietoonsa ensimmäisen viruksen-joka tunnetaan nimellä ”Peachy” – joka käyttää PDF: tä levittääkseen, McAfee’ s Avert Groupin vanhempi johtaja Vincent Gullotto sanoi.
onneksi ne, jotka vain katselevat PDF-tiedostoa tai kannettavaa Dokumenttiformaattia, eivät ole haavoittuvia. Virus leviää vain Adoben Acrobat-ohjelmiston kautta–ohjelman, jota käytetään PDF-dokumenttien luomiseen–ei Acrobat Readerin, ilmaisen ohjelman kautta, jota käytetään tiedostojen katseluun.
”ei ole mitään mahdollisuutta, että tämä vaikuttaisi Acrobat Readeriin”, sanoi Adoben Sarah Rosenbaum, Acrobatin tuotehallinnon johtaja. ”Acrobatin koodia, joka tunnistaa liitteet, ei ole Readerissa.”
Peachy hyödyntää Acrobat-ominaisuutta, jonka avulla ihmiset voivat upottaa muita tiedostoja PDF-tiedostoon–liitteitä, jotka vain Acrobatia käyttävät voivat avata.
”juuri nyt sitä pidetään pienenä riskinä, koska emme ole nähneet sen raportoivan meille asiakkaalta”, Network Associatesin Gullotto sanoi.
mutta Peachy-virus herättää kysymyksen siitä, että PDF-tiedostot-joita käytetään laajalti asiakirjojen näyttämiseen verkkoselaimissa ja sähköpostissa-voivat olla uusi kanava virusten levittämiseen.
”olen huolissani siitä, että tämä voisi olla uusi raja”, sanoi Privacy Foundationin teknologiajohtaja Richard Smith. ”Sitä pidetään turvallisena tiedostomuotona.”Smith lähetti uutisen viruksesta Bugtraq-tietoturvapostituslistalle tiistaina.
on selvää, että jos Adobe muokkaisi tulevia Readerin versioita niin, että se voisi lukea PDF-tiedostoihin upotettuja liitteitä, ohjelma voisi joutua Peachyn jälkeläisten uhriksi.
Rosenbaum sanoi, että vaikka on mahdollista, että Adobe saattaa lisätä liitetiedoston käsittelykykyä Acrobat Readerin tuleviin painoksiin, yhtiöllä ei ole välittömiä suunnitelmia tehdä niin.
Smith sanoi uskovansa, että Acrobat Reader-ohjelmisto voisi osoittautua joka tapauksessa alttiiksi. Itse asiassa tietokoneen hätäryhmä lähetti uutisia Acrobatin Windows-versiossa marraskuussa 2000 olevasta haavoittuvuudesta, joka voisi antaa ulkopuolisen hyökkääjän saada hallintaansa henkilön tietokoneen, joka yksinkertaisesti katsoi PDF-tiedostoa. Adobe paikkasi reiän.
Adoben mukaan mikä tahansa suosittu ohjelmisto joutuu tietoturvahyökkäysten kohteeksi ja Acrobat on ylittänyt tuon kynnyksen.
” I think the attraction…on saavuttanut kriittisen tason viime aikoina”, Rosenbaum sanoi. ”Se on ollut vain viimeisten 18-24 kuukauden aikana, että PDF…käyttö on todella räjähtänyt.”
miten Peachy toimii
Acrobat antaa ihmisten upottaa erilaisia tiedostotyyppejä PDF: n sisään, mukaan lukien kaiken VBScript-ohjelmista–joita käytetään LoveLetter-viruksessa–todelliseen suoritettavaan ohjelmaan, Gullotto sanoi.
Peachy on nimetty pienen pelin mukaan PDF-tiedostossa, johon liittyy persikoiden löytäminen, Gullotto sanoi. Mukaan henkilö nimeltä Zulu, joka sanoi kirjoittaneensa Peachy, näyttää ratkaisu peli kulkee VBScript tiedosto.
virus leviää sitten muihin Microsoft Outlookista kerättyjen sähköpostiosoitteiden avulla, Gullotto sanoi. Piilottaminen VBScript tiedoston PDF-dokumentissa ohittaa suodattimet uudemmissa versioissa Outlook että tavallisesti screen out VBScript tiedostoja.
kuitenkin nämä uudemmat versiot Outlookista, kuten Outlook 2002 tai ne, jotka on paikattu tietoturvapäivityksellä, ryhtyvät toimenpiteisiin, jotka haittaavat viruksia, kuten Peachy, sanoi David Jaffe, Microsoft Officen johtava tuotepäällikkö. Vaikka PDF-tiedostoja-ja mitä sulautettuja ohjelmia on piilotettu niihin-ei seulota pois, Outlook varoittaa käyttäjää, kun virus tai muu automatisoitu prosessi yrittää käyttää Outlookin osoitekirja tai käyttää ohjelmaa lähettää sähköpostia, Jaffe sanoi.
Adoben kanssa kesäkuussa julkistetun sopimuksen kautta McAfeen ohjelmisto voi skannata PDF-tiedostoja, Gullotto sanoi. Kuitenkin, kuten muutkin virustyypit, ohjelmisto ei aina voi saalis uusia viruksia, kunnes sen määritelmät päivitetään.
McAfeen ensi viikolla julkaisemat päivitetyt viruskuvaukset pystyvät havaitsemaan Peachyn, Gullotto sanoi.
, mutta Adobe ei tällä hetkellä aio estää VBScriptin tai muiden tiedostojen suorittamista.
estääksemme Peachyn ajamisen” muutos, joka meidän olisi tehtävä, on VBScript-liitteiden salliminen. Se on ongelma monille asiakkaillemme”, Rosenbaum sanoi. ”Jos he muuttavat mielipidettään, me teemme, mitä he haluavat.”
Acrobatin täysversion omaavien on noudatettava varovaisuutta avatessaan PDF-tiedostojen liitteitä. Liitteiden avaaminen ei kuitenkaan ole automaattista: varoittava valintaikkuna kysyy, haluaako henkilö jatkaa.