Robak w dokumentach PDF

Niedawno w sieci krążyły dokumenty zawierające bota ZeuS, teraz siedzi w nich robak. Używając funkcji Launch Actions/Launch File, dokumenty PDF mogą uruchamiać osadzone w nich skrypty albo pliki EXE. Adobe Reader wprawdzie pyta użytkownika, czy ten zgadza się na start programu, ale elementy okna dialogowego da się uformować w taki sposób, że nie wzbudzą one żadnych podejrzeń, że na komputerze dzieje się coś niepożądanego.

Obecnie między innymi X-Force, dział firmy IBM, donosi o zalewie spamowych e-maili, które udają, że zawierają wskazówki do konfiguracji na nowo konta pocztowego: "Setting for your mailbox are changed". Adobe Reader co prawda pokazuje ostrzeżenie w momencie otwierania dołączonego do tych e-maili pliku PDF, ale użytkownicy prawdopodobnie nie dostrzegą niczego szczególnego w niegroźnym komunikacie "Click the open button to view this document" i bez wahania klikną "OK". Jednak w wyniku tak wyrażonej zgody PDF wykonuje skrypt VBScript, który zapisuje i uruchamia na komputerze program game.exe.

Ten ostatni zawiera robaka Win32/Auraax. Auraax instaluje dodatkowo rootkita, a następnie usiłuje przenieść się na podłączone nośniki pamięci takie jak USB. Wprawdzie większość programów antywirusowych rozpoznaje "szkodnika", ale lepiej być mądrym i przezornym przed szkodą. Dlatego też dobrym pomysłem jest wybranie w menu Readera Edycja | Preferencje | Menedżer zaufania, a następnie odznaczenie pola Pozwól na otwieranie załączników w innym formacie niż PDF za pomocą aplikacji zewnętrznych.

Na tego typu ataki podatny jest także Foxit Reader, który również ostrzega przed otworzeniem pliku, ale nie ma w nim opcji pozwalającej na wyłączenie uruchamiania. Ze względu na okno dialogowe w czytniku, Adobe nie klasyfikuje tego problemu jako krytyczny. Zdaniem producenta jest to użyteczna funkcja, która staje się problemem jedynie w wyniku niewłaściwego wykorzystania.