Nieuw virus reist in PDF-bestanden
Adobe ‘ s populaire PDF – bestandsformaat-bekend bij iedereen die ooit een belastingformulier op de IRS-website heeft opgeroepen-wordt over het algemeen beschouwd als immuun voor virussen. Maar een nieuw virus uitgevoerd door programma ‘ s ingebed in PDF-bestanden roept bezorgdheid op dat het formaat zelf vatbaar zou kunnen worden.
dinsdagochtend werd de McAfee antivirus divisie van Network Associates zich bewust van het eerste virus-bekend als “Peachy” – dat PDF gebruikt om zich te verspreiden, zei Vincent Gullotto, senior director van McAfee ‘ s Avert group.
gelukkig zijn degenen die gewoon een PDF of Portable Document Format bekijken niet kwetsbaar. Het virus verspreidt zich alleen door middel van Adobe ‘ s Acrobat software – het programma dat wordt gebruikt om PDF-documenten te maken-niet via Acrobat Reader, het gratis programma dat wordt gebruikt om de bestanden te bekijken.
“dit kan geen invloed hebben op Acrobat Reader,” zei Sarah Rosenbaum van Adobe, directeur van Acrobat product management. “De code in Acrobat die bijlagen herkent bestaat niet in Reader.”
Peachy maakt gebruik van een Acrobat-functie waarmee mensen andere bestanden in een PDF kunnen insluiten–bijlagen die alleen geopend kunnen worden door mensen die Acrobat gebruiken.
” op dit moment wordt het beschouwd als een laag risico, omdat we niet hebben gezien het gemeld aan ons van een klant,” Network Associates’ Gullotto zei.
maar het Peachy virus roept het probleem op dat PDF-bestanden — veel gebruikt om documenten in webbrowsers en e-mail weer te geven–een nieuw kanaal kunnen worden voor het verspreiden van virussen.
” waar ik me zorgen over maak is dat dit een nieuwe grens zou kunnen zijn, ” zei Richard Smith, chief technology officer van de Privacy Foundation. “Het wordt beschouwd als een veilig bestandsformaat.”Smith gepost nieuws van het virus naar de Bugtraq security mailinglijst dinsdag.
het is duidelijk dat als Adobe toekomstige versies van Reader aanpast zodat het bijlagen kan lezen die in PDF-bestanden zijn ingesloten, het programma het slachtoffer kan worden van Peachy ‘ s afstammelingen.
Rosenbaum zei dat hoewel het mogelijk is dat Adobe attachment-handling mogelijkheden toevoegt in toekomstige edities van Acrobat Reader, Het bedrijf geen onmiddellijke plannen heeft om dit te doen.
Smith zei dat hij gelooft dat Acrobat Reader-software in ieder geval vatbaar kan blijken te zijn. Inderdaad, de Computer Emergency Response Team postte nieuws van een kwetsbaarheid in de Windows-versie van Acrobat In November 2000 die een externe aanvaller controle over de computer van een persoon die gewoon een PDF-bestand bekeken kon laten krijgen. Adobe heeft dat gat gedicht.
Adobe zei dat alle populaire software een doelwit wordt voor beveiligingsaanvallen en Acrobat heeft die drempel overschreden.
” I think the attraction…heeft onlangs een kritiek niveau bereikt,” Rosenbaum zei. “Het is pas in de laatste 18 tot 24 maanden dat PDF…het gebruik is echt geëxplodeerd.”
hoe Peachy werkt
Acrobat laat mensen verschillende bestandstypen in een PDF insluiten, inclusief alles van de VBScript-programma ‘ s–gebruikt in het LoveLetter virus–tot een echt uitvoerbaar programma, zei Gullotto.
Peachy is vernoemd naar een klein spel in een PDF-bestand dat gaat om het vinden van perziken, Gullotto zei. Volgens een persoon genaamd Zulu, die zei dat hij schreef Peachy, toont de oplossing voor het spel draait een VBScript-bestand.
het virus verspreidt zich dan naar anderen met behulp van e-mailadressen verzameld uit Microsoft Outlook, Gullotto zei. Het verbergen van het VBScript-bestand in een PDF-document omzeilt de filters in nieuwere versies van Outlook die gewoonlijk VBScript-bestanden weergeven.
echter, deze meer recente versies van Outlook, zoals Outlook 2002 of die zijn gepatcht met een beveiligingsupdate, nemen maatregelen die virussen zoals peachy belemmeren, zei David Jaffe, lead product manager voor Microsoft Office. Hoewel PDF-bestanden-en wat ingesloten programma ’s zijn verborgen in hen-niet worden afgeschermd, Outlook waarschuwt de gebruiker wanneer een virus of een ander geautomatiseerd proces probeert toegang te krijgen tot Outlook’ s adresboek of het programma gebruiken om e-mail te verzenden, Jaffe zei.Door middel van een overeenkomst met Adobe aangekondigd in juni, McAfee ‘ s software kan scannen PDF-bestanden, Gullotto zei. Echter, zoals met andere virustypen, de software is niet altijd in staat om nieuwe virussen te vangen totdat de definities worden bijgewerkt.
bijgewerkte virusbeschrijvingen vrijgegeven door McAfee volgende week in staat zal zijn om Peachy detecteren, Gullotto zei.
maar Adobe is momenteel niet van plan om te voorkomen dat VBScript of andere bestanden worden uitgevoerd.
om te voorkomen dat Peachy kan draaien, ” de wijziging die we zouden moeten maken is niet om VBScript bijlagen toe te staan. Dat is een probleem voor veel van onze klanten”, aldus Rosenbaum. “Als ze van mening veranderen, doen we wat ze willen.”
mensen met de volledige versie van Acrobat zullen voorzichtig moeten zijn bij het openen van bijlagen naar PDF-bestanden. Het openen van bijlagen is echter niet automatisch: een waarschuwend dialoogvenster vraagt of iemand door wil gaan.