Az új vírus PDF fájlokban utazik
az Adobe népszerű PDF fájlformátumát-bárki számára ismert, aki valaha is felhívta az adóformátumot az IRS webhelyén-általában immunisnak tekintik a vírusokkal szemben. A PDF fájlokba ágyazott programok által hordozott új vírus azonban aggodalomra ad okot, hogy maga a formátum érzékeny lehet.
kedden reggel a Network Associates McAfee antivirus részlege tudomást szerzett az első vírusról-az úgynevezett “Peachy” – ről, amely PDF-et használ a terjedéshez-mondta Vincent Gullotto, a McAfee Avert csoportjának vezető igazgatója.
szerencsére azok, akik egyszerűen PDF-fájlt vagy hordozható dokumentumformátumot néznek meg, nem sérülékenyek. A vírus terjed csak útján Adobe Acrobat szoftver-a program létrehozásához használt PDF dokumentumok-nem az Acrobat Reader, az ingyenes program, amely a fájlok megtekintéséhez.
“ez nem befolyásolhatja az Acrobat Readert” – mondta az Adobe Sarah Rosenbaum, az Acrobat termékmenedzsment igazgatója. “A mellékleteket felismerő Acrobat-kód nem létezik a Readerben.”
a Peachy kihasználja az Acrobat funkciót, amely lehetővé teszi az emberek számára, hogy más fájlokat ágyazzanak be egy PDF-be-olyan mellékleteket, amelyeket csak az Acrobat használatával megnyithatnak.
“jelenleg alacsony kockázatnak tekintik, mert még nem láttuk, hogy egy ügyfél jelentette nekünk” – mondta a Network Associates gullotto.
de a Peachy vírus felveti azt a kérdést, hogy a PDF fájlok-amelyeket széles körben használnak a dokumentumok megjelenítésére a webböngészőkben és az e-mailekben-új csatornává válhatnak a vírusok terjesztésében.
“ami engem aggaszt, az az, hogy ez egy új határ lehet” – mondta Richard Smith, a Privacy Foundation technológiai igazgatója. “Biztonságos fájlformátumnak tekintik.”Smith kedden közzétette a vírus híreit a Bugtraq biztonsági levelezőlistáján.
egyértelmű, hogy ha az Adobe módosította a Reader jövőbeli verzióit, hogy elolvashassa a PDF fájlokba ágyazott mellékleteket, a program Peachy leszármazottainak áldozatává válhat.
Rosenbaum elmondta, hogy bár lehetséges, hogy az Adobe hozzáadja a mellékletkezelő képességet az Acrobat Reader jövőbeli kiadásaihoz, a vállalatnak nincs közvetlen terve erre.
Smith azt mondta, hogy úgy véli, hogy az Acrobat Reader szoftver minden esetben érzékenynek bizonyulhat. Valójában a számítógépes vészhelyzeti reagáló csoport 2000 novemberében híreket tett közzé az Acrobat Windows verziójának sebezhetőségéről, amely lehetővé teheti egy külső támadó számára, hogy átvegye az irányítást egy olyan személy számítógépe felett, aki egyszerűen megtekintett egy PDF fájlt. Az Adobe foltozta ezt a lyukat.
az Adobe szerint minden népszerű szoftver a biztonsági támadások célpontjává válik, és az Acrobat átlépte ezt a küszöböt.
“azt hiszem, a vonzerő…a közelmúltban kritikus szintet ért el ” – mondta Rosenbaum. “Csak az elmúlt 18-24 hónapban volt ez a PDF…a használat valóban felrobbant.”
hogyan működik a Peachy
az Acrobat lehetővé teszi az emberek számára, hogy különböző fájltípusokat ágyazzanak be egy PDF-be, beleértve mindent a VBScript programoktól-amelyeket a LoveLetter vírus használ-egy tényleges végrehajtható programig, mondta Gullotto.
a Peachy egy kis játékról kapta a nevét egy PDF fájlban, amely magában foglalja az őszibarack megtalálását-mondta Gullotto. Egy Zulu nevű személy szerint, aki azt mondta, hogy Peachy-t írt, a játék megoldásának bemutatása VBScript fájlt futtat.
a vírus ezután a Microsoft Outlookból gyűjtött e-mail címek segítségével terjed másokra-mondta Gullotto. A VBScript fájl elrejtése PDF dokumentumban megkerüli az Outlook újabb verzióinak szűrőit, amelyek általában kiszűrik a VBScript fájlokat.
az Outlook ezen újabb verziói, például az Outlook 2002 vagy a biztonsági frissítéssel javított verziók azonban olyan intézkedéseket hoznak, amelyek megakadályozzák a vírusokat, például a Peachy-t-mondta David Jaffe, a Microsoft Office vezető termékmenedzsere. Bár a PDF fájlokat-és bármilyen beágyazott programot is rejtenek bennük-nem szűrik ki, az Outlook figyelmezteti a felhasználót, amikor egy vírus vagy más automatizált folyamat megpróbálja elérni az Outlook címjegyzékét, vagy a programot e-mailek küldésére használja.
az Adobe-val júniusban bejelentett megállapodás révén a McAfee szoftvere képes beolvasni a PDF fájlokat-mondta Gullotto. Más vírustípusokhoz hasonlóan azonban a szoftver nem mindig képes új vírusokat elkapni, amíg a definíciókat nem frissítik.
a McAfee által a jövő héten kiadott frissített vírusleírások képesek lesznek észlelni az őszibarackot-mondta Gullotto.
de az Adobe jelenleg nem tervezi megakadályozni a VBScript vagy más fájlok futtatását.
a Peachy futtatásának megakadályozása érdekében “a változtatás, amelyet meg kell tennünk, nem engedélyezi a VBScript mellékleteket. Ez sok ügyfelünk számára problémát jelent ” – mondta Rosenbaum. “Ha megváltoztatják a véleményüket, azt tesszük, amit akarnak.”
az Acrobat teljes verzióját használóknak körültekintően kell eljárniuk a PDF fájlok mellékleteinek megnyitásakor. A mellékletek megnyitása azonban nem automatikus: egy figyelmeztető párbeszédpanel megkérdezi, hogy valaki folytatni akarja-e.