Nuovo virus viaggia in file PDF
Il popolare formato di file PDF di Adobe-noto a chiunque abbia mai chiamato un modulo fiscale sul sito Web IRS-è stato generalmente considerato immune ai virus. Ma un nuovo virus portato da programmi incorporati in file PDF solleva preoccupazioni che il formato stesso potrebbe diventare suscettibile.
Martedì mattina, la divisione antivirus McAfee di Network Associates è venuta a conoscenza del primo virus-noto come “Peachy” – che utilizza il PDF per diffondersi, ha dichiarato Vincent Gullotto, senior director del gruppo Avert di McAfee.
Fortunatamente, coloro che stanno semplicemente visualizzando un file PDF o un formato di documento portatile non sono vulnerabili. Il virus si diffonde solo attraverso il software Acrobat di Adobe – il programma utilizzato per creare documenti PDF-non attraverso Acrobat Reader, il programma gratuito che viene utilizzato per visualizzare i file.
“Non c’è modo per questo di influenzare Acrobat Reader,” ha detto di Adobe Sarah Rosenbaum, direttore di Acrobat product management. “Il codice in Acrobat che riconosce gli allegati non esiste in Reader.”
Peachy sfrutta una funzione Acrobat che consente alle persone di incorporare altri file all’interno di un PDF attachments allegati che possono essere aperti solo da persone che utilizzano Acrobat.
“In questo momento è considerato un rischio basso perché non l’abbiamo visto segnalato da un cliente”, ha detto Gullotto di Network Associates.
Ma il virus Peachy solleva il problema che i file PDF-ampiamente utilizzati per visualizzare i documenti all’interno di browser Web ed e-mail-potrebbe diventare un nuovo canale per la diffusione di virus.
“Quello che mi preoccupa qui è che questa potrebbe essere una nuova frontiera”, ha detto Richard Smith, Chief Technology Officer della Privacy Foundation. “È considerato un formato di file sicuro.”Smith ha pubblicato notizie del virus nella mailing list Bugtraq security martedì.
È chiaro che se Adobe modificasse le versioni future di Reader in modo da poter leggere gli allegati incorporati nei file PDF, il programma potrebbe cadere vittima dei discendenti di Peachy.
Rosenbaum ha detto che mentre è possibile Adobe potrebbe aggiungere capacità di gestione degli allegati nelle edizioni future di Acrobat Reader, la società non ha piani immediati per farlo.
Smith ha detto che crede software Acrobat Reader potrebbe rivelarsi suscettibile in ogni caso. Infatti, il Computer Emergency Response Team ha pubblicato la notizia di una vulnerabilità nella versione Windows di Acrobat nel novembre 2000 che potrebbe lasciare un attaccante esterno ottenere il controllo sul computer di una persona che semplicemente visualizzato un file PDF. Adobe ha rattoppato quel buco.
Adobe ha detto che qualsiasi software popolare diventa un bersaglio per gli attacchi alla sicurezza e Acrobat ha superato tale soglia.
“Penso che l’attrazione…ha raggiunto un livello critico di recente”, ha detto Rosenbaum. “E’ stato solo negli ultimi 18 a 24 mesi che PDF…l’uso è davvero esploso.”
Come funziona Peachy
Acrobat consente alle persone di incorporare diversi tipi di file all’interno di un PDF, incluso tutto, dai programmi VBScript used utilizzati nel virus LoveLetter to a un vero programma eseguibile, ha detto Gullotto.
Peachy prende il nome da un piccolo gioco in un file PDF che coinvolge trovare pesche, Gullotto ha detto. Secondo una persona chiamata Zulu, che ha detto di aver scritto Peachy, mostrando la soluzione al gioco viene eseguito un file VBScript.
Il virus si diffonde poi ad altri utilizzando indirizzi e-mail raccolti da Microsoft Outlook, Gullotto ha detto. Nascondere il file VBScript in un documento PDF ignora i filtri nelle versioni più recenti di Outlook che normalmente schermano i file VBScript.
Tuttavia, queste versioni più recenti di Outlook, come Outlook 2002 o quelli che sono stati patchati con un aggiornamento di sicurezza, prendere misure che ostacolano virus come Peachy, ha detto David Jaffe, lead product manager per Microsoft Office. Anche se i file PDF-e qualunque programmi incorporati sono nascosti in loro-non sono schermati, Outlook avverte l’utente quando un virus o altro processo automatizzato tenta di accedere alla rubrica di Outlook o utilizzare il programma per inviare e-mail, Jaffe ha detto.
Attraverso un accordo con Adobe annunciato nel mese di giugno, il software di McAfee in grado di eseguire la scansione di file PDF, Gullotto ha detto. Tuttavia, come con altri tipi di virus, il software non è sempre in grado di catturare nuovi virus fino a quando le sue definizioni vengono aggiornate.
Le descrizioni dei virus aggiornate rilasciate da McAfee la prossima settimana saranno in grado di rilevare Peachy, ha detto Gullotto.
Ma Adobe non prevede attualmente di impedire l’esecuzione di VBScript o altri file.
Per impedire a Peachy di essere in grado di eseguire, “la modifica che dovremmo apportare è non consentire gli allegati VBScript. Questo è un problema per molti dei nostri clienti”, ha detto Rosenbaum. “Se cambiano la loro opinione, faremo quello che vogliono.”
Le persone con la versione completa di Acrobat dovranno prestare attenzione quando aprono gli allegati ai file PDF. Tuttavia, l’apertura degli allegati non è automatica: una finestra di dialogo cautelativa chiede se una persona desidera procedere.