Nytt virus reser i PDF-filer
Adobes populära PDF-filformat-känt för alla som någonsin har tagit fram en skatteblankett på IRS-webbplatsen-har i allmänhet ansetts vara immun mot virus. Men ett nytt virus som bärs av program inbäddade i PDF-filer väcker oro för att själva formatet kan bli mottagligt.
på tisdag morgon blev Network Associates McAfee antivirus division medveten om det första viruset-känt som ”Peachy” – som använder PDF för att sprida sig, säger Vincent Gullotto, senior chef för McAfees Avert-grupp.
lyckligtvis är de som bara tittar på en PDF-fil eller ett bärbart dokumentformat inte sårbara. Viruset sprider sig endast genom Adobes Acrobat programvara-det program som används för att skapa PDF-dokument-inte genom Acrobat Reader, det fria program som används för att visa filerna.
” det finns inget sätt för detta att påverka Acrobat Reader”, säger Adobes Sarah Rosenbaum, chef för Acrobat product management. ”Koden i Acrobat som känner igen bilagor finns inte i Reader.”
Peachy utnyttjar en Acrobat-funktion som tillåter människor att bädda in andra filer i en PDF-bilagor som endast kan öppnas av personer som använder Acrobat.
”just nu anses det vara en låg risk eftersom vi inte har sett det rapporterat till oss från en kund,” sa Network Associates Gullotto.
men Peachy-viruset väcker frågan om att PDF-filer-ofta används för att visa dokument i webbläsare och e-post-kan bli en ny kanal för att sprida virus.
” vad jag är orolig för här är att detta kan vara en ny gräns”, säger Richard Smith, Chief technology officer för Privacy Foundation. ”Det anses vara ett säkert filformat.”Smith publicerade nyheter om viruset till Bugtraq-säkerhetspostlistan tisdag.
det är uppenbart att om Adobe ändrade framtida versioner av Reader så att den kunde läsa bilagor inbäddade i PDF-filer, kan programmet bli offer för Peachys Ättlingar.
Rosenbaum sa att även om det är möjligt att Adobe kan lägga till bifogade hanteringsfunktioner i framtida utgåvor av Acrobat Reader, har företaget inga omedelbara planer på att göra det.
Smith sa att han tror att Acrobat Reader-programvaran kan vara mottaglig i alla fall. Faktum är att Computer Emergency Response Team publicerade nyheter om en sårbarhet i Windows-versionen av Acrobat i November 2000 som kunde låta en extern angripare få kontroll över datorn för en person som helt enkelt tittade på en PDF-fil. Adobe lappade det hålet.
Adobe sa att alla populära programvaror blir ett mål för säkerhetsattacker och Acrobat har passerat den tröskeln.
” jag tror att attraktionen…har nått en kritisk nivå nyligen, ” sade Rosenbaum. ”Det har bara varit under de senaste 18 till 24 månaderna som PDF…användningen har verkligen exploderat.”
hur peachy fungerar
Acrobat låter människor bädda in olika filtyper i en PDF, inklusive allt från VBScript-programmen-som används i LoveLetter-viruset-till ett verkligt körbart program, sa Gullotto.
Peachy är uppkallad efter ett litet spel i en PDF-fil som innebär att hitta persikor, sade Gullotto. Enligt en person som heter Zulu, som sa att han skrev Peachy, visar lösningen på spelet kör en VBScript-fil.
viruset sprider sig sedan till andra med hjälp av e-postadresser som samlats in från Microsoft Outlook, sade Gullotto. Att dölja VBScript-filen i ett PDF-dokument kringgår filtren i nyare versioner av Outlook som vanligtvis skärmar ut VBScript-filer.
dessa nyare versioner av Outlook, till exempel Outlook 2002 eller de som har patchats med en säkerhetsuppdatering, vidtar dock åtgärder som hindrar virus som Peachy, säger David Jaffe, ledande produktchef för Microsoft Office. Även PDF-filer-och oavsett inbäddade program är dolda i dem-inte sållas ut, Outlook varnar användaren när ett virus eller annan automatiserad process försöker komma åt Outlook adressbok eller använda programmet för att skicka e-post, Jaffe sa.
genom ett avtal med Adobe som tillkännagavs i juni kan McAfees programvara skanna PDF-filer, Sa Gullotto. Men som med andra virustyper kan programvaran inte alltid fånga nya virus förrän dess definitioner uppdateras.
uppdaterade virusbeskrivningar som släpptes av McAfee nästa vecka kommer att kunna upptäcka Peachy, sa Gullotto.
men Adobe planerar för närvarande inte att förhindra att VBScript eller andra filer körs.
för att förhindra att Peachy kan köra, ”den förändring vi skulle behöva göra är att inte tillåta VBScript-bilagor. Det är ett problem för många av våra kunder,” Rosenbaum sa. ”Om de ändrar sin åsikt kommer vi att göra vad de vill.”
personer med den fullständiga versionen av Acrobat måste vara försiktiga när de öppnar bilagor till PDF-filer. Att öppna bilagor är dock inte automatiskt: en varningsdialogruta frågar om en person vill fortsätta.