Nowy wirus podróżuje w plikach PDF
popularny format plików PDF firmy Adobe – znany każdemu, kto kiedykolwiek wywołał formularz podatkowy na stronie IRS – został ogólnie uznany za odporny na wirusy. Ale nowy wirus przenoszony przez programy osadzone w plikach PDF budzi obawy, że sam format może stać się podatny.
we wtorek rano dział antywirusowy McAfee Network Associates dowiedział się o pierwszym wirusie, znanym jako”Peachy”, który wykorzystuje PDF do rozprzestrzeniania się, powiedział Vincent Gullotto, starszy dyrektor grupy Avert McAfee.
na szczęście ci, którzy po prostu oglądają plik PDF lub przenośny format dokumentu, nie są podatni na zagrożenia. Wirus rozprzestrzenia się tylko za pomocą oprogramowania Adobe Acrobat-programu używanego do tworzenia dokumentów PDF-a nie za pośrednictwem programu Acrobat Reader, darmowego programu używanego do przeglądania plików.
„nie ma możliwości, aby to wpłynęło na program Acrobat Reader” – powiedziała Sarah Rosenbaum, dyrektor ds. zarządzania produktami Acrobat firmy Adobe. „Kod programu Acrobat rozpoznający załączniki nie istnieje w programie Reader.”
Peachy wykorzystuje funkcję programu Acrobat, która umożliwia osadzanie innych plików w pliku PDF-załączniki, które mogą być otwierane tylko przez osoby korzystające z programu Acrobat.
„w tej chwili jest to uważane za niskie ryzyko, ponieważ nie widzieliśmy go zgłoszonego do nas od klienta”, powiedział Gullotto Network Associates.
ale Peachy virus rodzi problem, że pliki PDF-powszechnie używane do wyświetlania dokumentów w przeglądarkach internetowych i e-mailach-mogą stać się nowym kanałem rozprzestrzeniania wirusów.
„obawiam się, że to może być nowa granica” – powiedział Richard Smith, dyrektor ds. technologii w Fundacji Prywatności. „Jest uważany za Bezpieczny format pliku.”Smith wysłał wiadomość o wirusie na listę dyskusyjną Bugtraq security we wtorek.
oczywiste jest, że jeśli Adobe zmodyfikuje przyszłe wersje programu Reader, aby mógł czytać załączniki osadzone w plikach PDF, program może paść ofiarą Potomków Peachy ’ ego.
Rosenbaum powiedział, że chociaż możliwe jest, że Adobe może dodać możliwość obsługi załączników w przyszłych wersjach programu Acrobat Reader,firma nie planuje tego natychmiast.
Smith powiedział, że wierzy, że oprogramowanie Acrobat Reader może okazać się podatne w każdym przypadku. W listopadzie 2000 r. zespół reagowania na awarie komputerowe opublikował wiadomość o luce w oprogramowaniu Acrobat w wersji Windows, która może pozwolić zewnętrznemu atakującemu uzyskać kontrolę nad komputerem osoby, która po prostu przeglądała plik PDF. Adobe załatało tę dziurę.
Adobe twierdzi, że każde popularne oprogramowanie staje się celem ataków bezpieczeństwa, a program Acrobat przekroczył ten próg.
” myślę, że atrakcja…osiągnęła ostatnio poziom krytyczny ” – powiedział Rosenbaum. „To było tylko w ciągu ostatnich 18 do 24 miesięcy, że PDF…użycie naprawdę eksplodowało.”
jak działa Peachy
Acrobat pozwala osadzać różne typy plików w pliku PDF, w tym wszystko, od programów VBScript-używanych w wirusie LoveLetter-do rzeczywistego programu wykonywalnego, powiedział Gullotto.
Peachy jest nazwany po małej grze w pliku PDF, która polega na znalezieniu brzoskwiń, powiedział Gullotto. Według osoby o imieniu Zulu, która powiedziała, że napisał Peachy, pokazując rozwiązanie gry uruchamia plik VBScript.
wirus rozprzestrzenia się na innych za pomocą adresów e-mail zebranych z programu Microsoft Outlook, powiedział Gullotto. Ukrywanie pliku VBScript w dokumencie PDF omija filtry w nowszych wersjach programu Outlook, które zwykle usuwają pliki VBScript.
jednak te nowsze wersje programu Outlook, takie jak Outlook 2002 lub te, które zostały załatane z aktualizacją zabezpieczeń, podejmują środki, które utrudniają wirusy, takie jak Peachy, powiedział David Jaffe, lead product manager w Microsoft Office. Chociaż pliki PDF – i jakiekolwiek wbudowane programy są w nich ukryte-nie są usuwane, Outlook ostrzega użytkownika, gdy wirus lub inny zautomatyzowany proces próbuje uzyskać dostęp do książki adresowej programu Outlook lub użyć programu do wysyłania wiadomości e-mail, powiedział Jaffe.
dzięki umowie z Adobe ogłoszonej w czerwcu oprogramowanie McAfee może skanować pliki PDF, powiedział Gullotto. Jednak, podobnie jak w przypadku innych typów wirusów, oprogramowanie nie zawsze jest w stanie złapać nowe wirusy, dopóki jego definicje nie zostaną zaktualizowane.
zaktualizowane opisy wirusów wydane przez McAfee w przyszłym tygodniu będą w stanie wykryć Peachy, powiedział Gullotto.
ale obecnie firma Adobe nie planuje uniemożliwiać uruchamiania VBScript ani innych plików.
aby uniemożliwić Peachy ’ emu uruchamianie, „zmiana, którą musielibyśmy wprowadzić, to nie zezwalanie na załączniki VBScript. Jest to problem dla wielu naszych klientów” – powiedział Rosenbaum. „Jeśli zmienią zdanie, zrobimy, co zechcą.”
osoby z pełną wersją programu Acrobat będą musiały zachować ostrożność podczas otwierania załączników do plików PDF. Jednak otwieranie załączników nie jest automatyczne: okno dialogowe przestroga pyta, czy dana osoba chce kontynuować.