Je třeba se bát virů v PDF?

Jak informovala společnost McAfee, objevil se virus šířící se pomocí souborů ve formátu PDF. Není však nutné propadat panice, nebezpečí infekce je minimální!

10.08.2001   Kočička Pavel   PDF - Adobe Acrobat   Článek  

V úterý se na serveru McAfee objevila zpráva o novém viru, který se vyskytuje v souborech formátu PDF. Po svém tuto zprávu převzaly některé české webové magazíny, takže tato zpráva vyvolala poměrně silný zájem veřejnosti.

Jaká je skutečnost a zejména reálné nebezpečí? Každý souborový formát, který umožňuje spouštět nějaký kód (typicky VBScript, Java Script), je potenciálně nebezpečný jako nástroj pro šíření virů. Je pouze na tvůrcích formátu, nakolik dokáží zakázat všechny operace, které mohou být zdrojem problému. Na druhou stranu nelze zakázat všechny instrukce, protože pak by celá technologie postrádala logiku a funkčnost. Je jen otázkou rozšířenosti formátu a času, kdy se najde skulinka a vir se objeví. Dobře to ilustrují počítače Macintosh - relativně jich není mnoho, aby stálo za to vyrábět viry. A proto je virů minimum.

Jako téměř všechny viry, i tento (VBS/PeachyPDF@MM) vyžaduje aktivní spolupráci s uživatelem. Nejprve vám emailem přijde zpráva obsahující přílohu ve formátu PDF. Subject zprávy obsahuje formulace "Peach", "Joke", "Find the peach" nebo "Find", tělo zprávy podobnou hlášku (např. Try finding the peach). V příloze je soubor "find.pdf ", "peach.pdf", "find the peach.pdf", "find_the_peach.pdf", "joke.pdf" nebo "search.pdf".

Pokud soubor otevřete, zobrazí se text "You have one minute to find the peach!" a série obrázků dámských "pozadí", mezi nimi jedna broskev (peach). Dále se objeví sugestivní ikona "Double click the icon to show the solution", tedy klepnutím na ikonu získáš řešení. Nicméně ikona je aktivní pouze pro uživatele Adobe Acrobatu, uživatelé Readeru ji mají skrytou.

Po klepnutí na ikonu se spustí samotný soubor viru-wormu - Peach.vbs nebo Peach.vbe nebo Peach.wsf. Ten nejprve vytvoří soubor GIF s názvem PEACH.JPG, který se pokusí otevřít, což vyvolá chybu. Nakonec worm ověří, zda v registru existuje položka "HKLM\Software\OUTLOOK.PDFWorm\", jinak ji vytvoří.

Nebyl by to správný vir, kdyby se nešířil. Skript vyhledá nakažený soubor .PDF na disku, a pošle ho lidem z adresáře vašeho Outlooku.

Pokud to tedy shrneme. Uživatelé Acrobat Readeru se nemají čeho bát, protože virus nemohou aktivovat ani nedopatřením. Vzhledem k omezeným možnostem šíření (vyžaduje plný Adobe Acrobat) nepředpokládá ani McAfee, že by došlo k velkému rozšíření viru. V ČR je navíc Acrobat rozšířený prakticky pouze v oblasti DTP, na rozdíl od USA, kde se používá i pro firemní publikování a prezentace. Celkově tedy zřejmě tento virus nezaznamená většího rozšíření a nepředstavuje tudíž výraznější bezpečností riziko. Na druhou stranu je varováním do budoucna jak pro uživatele, tak i pro tvůrce.