Ny virus rejser i PDF-filer

Adobes populære PDF-filformat-kendt for alle, der nogensinde har kaldt en skatteformular på IRS hjemmeside-er generelt blevet betragtet som immun mod vira. Men en ny virus, der bæres af programmer indlejret i PDF-filer, rejser bekymring for, at selve formatet kan blive modtageligt.

tirsdag morgen blev Netværksmedarbejdernes McAfee antivirus division opmærksom på den første virus-kendt som “Peachy” – der bruger PDF til at sprede sig, sagde Vincent Gullotto, senior direktør for McAfees Avert group.

heldigvis er de, der simpelthen ser en PDF-fil eller et bærbart dokumentformat, ikke sårbare. Virussen spreder sig kun ved hjælp af Adobes Acrobat-program-programmet, der bruges til at oprette PDF-dokumenter-ikke gennem Acrobat Reader, det gratis program, der bruges til at se filerne.

“der er ingen måde for dette at påvirke Acrobat Reader,” sagde Adobes Sarah Rosenbaum, direktør for Acrobat product management. “Koden i Acrobat, der genkender vedhæftede filer, findes ikke i Reader.”

Peachy udnytter en Acrobat-funktion, der giver folk mulighed for at integrere andre filer i en PDF-vedhæftede filer, der kun kan åbnes af personer, der bruger Acrobat.

“lige nu anses det for at være en lav risiko, fordi vi ikke har set det rapporteret til os fra en kunde,” sagde Gullotto.

men Peachy-viruset rejser problemet, at PDF-filer-meget brugt til at vise dokumenter i Internetsøgere og e-mail-kunne blive en ny kanal til spredning af vira.

“det, jeg er bekymret for her, er, at dette kunne være en ny grænse,” sagde Richard Smith, chief technology officer for Privacy Foundation. “Det anses for at være et sikkert filformat.”Smith sendte nyheder om virussen til Bugtraks sikkerhedspostliste tirsdag.

det er klart, at hvis Adobe ændrede fremtidige versioner af Reader, så det kunne læse vedhæftede filer indlejret i PDF-filer, kunne programmet blive offer for Peachy ‘ s Efterkommere.

Rosenbaum sagde, at selvom det er muligt, kan Adobe tilføje vedhæftningshåndteringsevne i fremtidige udgaver af Acrobat Reader, Har virksomheden ingen umiddelbare planer om at gøre det.

Smith sagde, at han mener, at Acrobat Reader-programmer under alle omstændigheder kan vise sig modtagelige. Faktisk offentliggjorde Computer Emergency Response-teamet nyheder om en sårbarhed i vinduer-versionen af Acrobat i November 2000, der kunne lade en ekstern angriber få kontrol over computeren til en person, der simpelthen så en PDF-fil. Adobe lappede det hul.

Adobe sagde, at ethvert populært program bliver et mål for sikkerhedsangreb, og Acrobat har krydset denne tærskel.

“jeg tror tiltrækningen…har nået et kritisk niveau for nylig, ” sagde Rosenbaum. “Det har kun været i de sidste 18 Til 24 måneder, at PDF…brugen er virkelig eksploderet.”

Sådan fungerer Peachy
Acrobat lader folk integrere forskellige filtyper i en PDF, inklusive alt fra VBScript-programmerne-brugt i LoveLetter-virussen-til et faktisk eksekverbart program, sagde Gullotto.

Peachy er opkaldt efter et lille spil i en PDF-fil, der involverer at finde ferskner, sagde Gullotto. Ifølge en person, der hedder Ulu, der sagde, at han skrev Peachy, viser løsningen på spillet kører en VBScript-fil.

virussen spredes derefter til andre ved hjælp af e-mail-adresser indsamlet fra Microsoft Outlook, sagde Gullotto. At skjule VBScript-filen i et PDF-dokument omgår filtrene i nyere versioner af Outlook, der normalt screener VBScript-filer.

disse nyere versioner af Outlook, såsom Outlook 2002 eller dem, der er blevet lappet med en sikkerhedsopdatering, træffer imidlertid foranstaltninger, der hæmmer vira som Peachy, sagde David Jaffe, lead product manager for Microsoft Office. Selvom PDF-filer-og uanset indlejrede programmer er skjult i dem-ikke screenes ud, advarer Outlook brugeren, når en virus eller anden automatiseret proces forsøger at få adgang til Outlook ‘ s adressebog eller bruge programmet til at sende e-mail, sagde Jaffe.

gennem en aftale med Adobe, der blev annonceret i Juni, kan McAfees program scanne PDF-filer, sagde Gullotto. Men, som med andre virustyper, programmet er ikke altid i stand til at fange nye vira, indtil dens definitioner er opdateret.

opdaterede virusbeskrivelser frigivet af McAfee i næste uge vil være i stand til at opdage fersken, sagde Gullotto.

men Adobe planlægger i øjeblikket ikke at forhindre, at VBScript eller andre filer kører.

for at forhindre Peachy i at kunne køre, “den ændring, vi skulle foretage, er ikke at tillade VBScript-vedhæftede filer. Det er et problem for mange af vores kunder,” sagde Rosenbaum. “Hvis de ændrer deres mening, vil vi gøre, hvad de vil.”

personer med den fulde version af Acrobat skal være forsigtige, når de åbner vedhæftede filer til PDF-filer. Åbning af vedhæftede filer er dog ikke automatisk: en advarselsdialogboks spørger, om en person vil fortsætte.