Noul virus călătorește în fișiere PDF
popularul format de fișier PDF Adobe-cunoscut de oricine a apelat vreodată la un formular fiscal pe site-ul IRS-a fost în general considerat imun la viruși. Dar un nou virus purtat de programe încorporate în fișiere PDF ridică îngrijorarea că formatul în sine ar putea deveni susceptibil.
marți dimineață, Divizia antivirus McAfee a Network Associates a luat cunoștință de primul virus-cunoscut sub numele de „Peachy” – care folosește PDF pentru a se răspândi, a declarat Vincent Gullotto, directorul principal al Grupului Avert al McAfee.
din fericire, cei care vizualizează pur și simplu un fișier PDF sau un Format de Document portabil nu sunt vulnerabili. Virusul se răspândește numai prin intermediul software-ului Adobe Acrobat-programul folosit pentru a crea documente PDF-nu prin Acrobat Reader, programul gratuit care este utilizat pentru a vizualiza fișierele.
„nu există nicio modalitate ca acest lucru să afecteze Acrobat Reader”, a declarat Sarah Rosenbaum de la Adobe, directorul Acrobat product management. „Codul din Acrobat care recunoaște atașamentele nu există în Reader.”
Peachy exploatează o caracteristică Acrobat care permite oamenilor să încorporeze alte fișiere într-un PDF-atașamente care pot fi deschise numai de către persoanele care utilizează Acrobat.
„în acest moment este considerat a fi un risc scăzut, deoarece nu am văzut că ne-a fost raportat de la un client”, a spus Gullotto de la Network Associates.
dar virusul Peachy ridică problema că fișierele PDF – utilizate pe scară largă pentru a afișa documente în browserele Web și e-mail-ar putea deveni un nou canal pentru răspândirea virușilor.
” ceea ce mă îngrijorează aici este că aceasta ar putea fi o nouă frontieră”, a declarat Richard Smith, Chief technology officer al Fundației pentru confidențialitate. „Este considerat a fi un format de fișier sigur.”Smith a postat știri despre virus pe lista de corespondență a securității Bugtraq marți.
este clar că, dacă Adobe a modificat versiunile viitoare ale Reader, astfel încât să poată citi atașamentele încorporate în fișiere PDF, Programul ar putea cădea victimă descendenților lui Peachy.
Rosenbaum a spus că, deși este posibil ca Adobe să adauge capacitatea de manipulare a atașamentelor în edițiile viitoare ale Acrobat Reader, compania nu are planuri imediate de a face acest lucru.
Smith a spus că crede că software-ul Acrobat Reader s-ar putea dovedi susceptibil în orice caz. Într-adevăr, echipa Computer Emergency Response a postat știri despre o vulnerabilitate în versiunea Windows a Acrobat în noiembrie 2000, care ar putea permite unui atacator extern să obțină controlul asupra computerului unei persoane care a vizualizat pur și simplu un fișier PDF. Adobe patch-uri care gaura.
Adobe a declarat că orice software popular devine o țintă pentru atacurile de securitate, iar Acrobat a trecut acest prag.
” cred că atracția…a atins un nivel critic recent”, a spus Rosenbaum. „A fost doar în ultimele 18-24 de luni acel PDF…utilizarea a explodat într-adevăr.”
cum funcționează Peachy
Acrobat permite oamenilor să încorporeze diferite tipuri de fișiere într-un PDF, inclusiv totul, de la programele VBScript-utilizate în virusul LoveLetter-la un program executabil real, a spus Gullotto.
Peachy este numit după un mic joc dintr-un fișier PDF care implică găsirea piersicilor, a spus Gullotto. Potrivit unei persoane numite Zulu, care a spus că a scris Peachy, arătând soluția la joc rulează un fișier VBScript.
virusul se răspândește apoi la alții folosind adrese de e-mail colectate de la Microsoft Outlook, a spus Gullotto. Ascunderea fișierului VBScript într-un document PDF Ocolește filtrele din versiunile mai noi de Outlook care afișează în mod obișnuit fișierele VBScript.
cu toate acestea, aceste versiuni mai recente de Outlook, cum ar fi Outlook 2002 sau cele care au fost patch-uri cu o actualizare de securitate, iau măsuri care împiedică viruși precum Peachy, a declarat David Jaffe, manager de produs principal pentru Microsoft Office. Deși fișierele PDF-și orice programe încorporate sunt ascunse în ele-nu sunt ecranate, Outlook avertizează utilizatorul atunci când un virus sau alt proces automat încearcă să acceseze agenda Outlook sau să utilizeze programul pentru a trimite e-mail, a spus Jaffe.
printr-un acord cu Adobe anunțat în iunie, software-ul McAfee poate scana fișiere PDF, a spus Gullotto. Cu toate acestea, ca și în cazul altor tipuri de viruși, software-ul nu este întotdeauna capabil să prindă viruși noi până când definițiile sale nu sunt actualizate.
descrierile actualizate ale virusului lansate de McAfee săptămâna viitoare vor putea detecta piersicul, a spus Gullotto.
dar Adobe nu intenționează în prezent să împiedice rularea VBScript sau a altor fișiere.
pentru a împiedica Peachy să poată rula, „schimbarea pe care ar trebui să o facem este să nu permitem atașamentele VBScript. Aceasta este o problemă pentru mulți dintre clienții noștri”, a spus Rosenbaum. „Dacă își schimbă opinia, vom face ceea ce vor.”
persoanele cu versiunea completă a Acrobat vor trebui să fie prudente atunci când deschid atașamente la fișiere PDF. Cu toate acestea, deschiderea atașamentelor nu este automată: o casetă de dialog de avertizare întreabă dacă o persoană dorește să continue.