PDF文件"桃色病毒"又泛滥
摘自: CHINABYTE
Adobe公司的PDF文件格式通常被认为对病毒具有绝对的免疫力。但是现在,一种新的病毒很可能会在PDF文件的附属程序中传播,从而使PDF文件成为这种新病毒的传播途径。
8月7日上午,著名的网络安全公司McAfee公司表示,他们发现了这第一种可以利用PDF文件进行传播的病毒---“桃色病毒”。
幸运的是,安全专家们发现,这种病毒只能通过Adobe公司的Acrobat软件,即制作PDF文件的软件程序,进行传播。而Adobe公司免费提供的被人们广泛用于阅读PDF文件的Acrobat阅读器,则并不会感染该病毒。
Adobe公司的生产管理部主任Sarah Rosenbaum表示,这种病毒根本没有办法在Acrobat阅读器中传播,Acrobat制作PDF文件的软件中用来处理附件的代码在阅读器中并不存在。
Acrobat软件允许人们在PDF的附件中插入另一个文件,而“桃色病毒”正是利用了该软件的这一弱点进行传播的。尽管目前该病毒表现出的危害性还不大,但这至少已经向人们发出了一个警告,即目前在因特网浏览器和电子邮件中被广泛应用的PDF文件已经成为病毒传播的一个新的通道。
Richard Smith是保密基金会的技术主任,他在星期二把这种病毒的消息发送到了著名的Bugtraq安全邮件列表中去。他表示,这是对人们是一个新的警告,因为连一向被认为是最安全的PDF文件也不能逃脱(被病毒感染的厄运)。
有一点非常清楚的是,如果Adobe公司改进阅读器的新版本以使其能够对PDF文件的内置附件进行处理的话,阅读器也将最终成为其它和“桃色病毒”似的病毒的牺牲品。
目前,Adobe公司完全有能力在Acrobat阅读器的新版本中增加对PDF文件中内置附件的操作功能。虽然该公司并没有马上要这样做的计划,但这并不表示它将来也不会这样做。
事实上,在去年11月,计算机紧急反应小组曾经公布了Acrobat软件windows版本中的一个安全漏洞,外部攻击者可以利用这个漏洞对那些打开PDF文件的计算机实行完全控制。Acrobat后来马上修补了这个漏洞。
“桃色病毒”命名的由来源自某PDF文件中附加的一个小小的找桃子游戏,这个游戏用VBScript语言编写,最令人闻风丧胆的“爱虫”病毒恰恰就是用这种程序编写的。Acrobat允许用户在PDF文件中附加任何一个非PDF格式的文件,那么人们就可以在PDF文件中嵌入VBScript程序和其它执行程序等。
“桃色病毒”实际上是在PDF文件中嵌入一个VBScript病毒程序,它自动利用用户计算机中OUTLOOK地址薄中的地址,绕过OUTLOOK中的过滤器向他人发送传播。虽然较新版的OUTLOOK一般都屏蔽了VBScript文件,但是对隐藏在PDF文件中的VBScript程序却无能为力。
按照今年6月份McAfee公司和Adobe公司签定的一项协议,McAfee公司的查杀病毒软件可以扫描PDF文件并查杀其中的病毒。因此,下星期McAfee公司将进一步更新病毒定义,以便能够侦测到“桃色病毒”。
目前看来,要完全禁止“桃色病毒”的唯一可行的办法就是不允许在PDF文件中附加VBScript程序。Adobe公司表示,这虽然是一个很好的办法,但目前该公司的许多用户却偏偏喜好使用这一功能,因此,Adobe公司并没有任何要拒绝在PDF文件中植入VBScript程序或者其它文件的打算。
因此,使用Acrobat软件的人现在都应该加倍小心,尤其是在他们打开PDF文件的附件时。但值得庆幸的一点是,Acrobat软件并不能自动打开PDF文件的附件,而是首先弹出一个对话框,询问用户是否决定继续下去,这或许就是Adobe公司有持无恐的一个重要原因吧。
