新一代病毒感染途徑-PDF
看到CNEt,2007/10/29的報導:PDF檔被用來攻擊電腦。
這個消息比USB外接碟病毒感染更讓我擔心。因為pdf的檔案格式,一向是我蠻支持的方式。不但在跨平台部份,以及文件交流及輸出。對於手上有大量資料的人,是一個不錯的選擇。
因此,蒐整了相關網路上的資料,希望了解問題的嚴重性。
最早發現的是:
2007/09/20 PDF pwns Windows這篇文章。
內容提到:
Adobe’s representatives can contact me from the usual place. My advise for you is not to open any PDF files (locally or remotely). Other PDF viewers might be vulnerable too. The issues was verified on Windows XP SP2 with the latest Adobe Reader 8.1, although previous versions are also affected.
建議不要開啟任何的pdf文件,不確定是否其他的PDF觀看程式是否也有影響,發現這個問題的環境是Windows XP SP2,使用的觀看程式是Adobe Reader8.1。
後來於2007/09/21,nist組織,正式將這個問題登錄CVE-2007-5020。
確認這個問題影響的環境是AdobeReader版本:8.1,對應作業系統:Windows。並且主動提及,不影響linux平台。
然後,平靜的過了一個月。直到F-Secure發佈了這個10/26新聞。證實對應這個後門的病毒開始蔓延。病毒以電子郵件方式,傳遞帶有PDF附檔的信件。一旦以Adobereader開啟,就會被引導並且開啟位於馬來西亞的一個外部網頁,並且透過IE7下載並安裝木馬MS32.EXE,發作會捉取你電腦中的通訊錄,並且將帶毒的PDF檔案轉寄出去。對於病毒詳細資料可以參考F-secure的說明。確認影響的範圍不只8.1版本的adobereader。
Adobe官方在10/22開始提供更新檔案,但是只針對8.1的用戶。文中除了由官方確認受影響的產品範圍,也確認受影響的系統環境。原來IE7的後門也是是否會被感染的關鍵之一,在微軟有紀錄這個後門的資料,這個後門在2007/10/10被發現到,比Adobe Reader後門被發現的日期還晚。
從以上的資料看來,受這次病毒影響的只有IE7的用戶。因為PDF中夾帶的是VBS的控制碼,利用IE7的後門,從網路上載入並安裝木馬的程式。
值得注意的是,據Adobe的資料,實際下載及更新的使用者並不多。由於大部分的防毒軟體對於PDF檔案都列為掃描的例外名單,這讓其他的駭客有可乘之機。如果下次夾帶的控制碼對應新的後門,所造成的擴散效果會比這次更嚴重。
建議大家:
1.儘量避免使用太過新的軟體版本,由於商業考量,很多軟體在還沒完成足夠的安全性測試,就會被推到市場上來,因此後門會陸續被發現。雖然軟體廠商「事後」都會負責的提供更新,但對於造成的損害,通常都是免責的。
2.注意目前使用軟體版本的修正程式,雖然是較穩定的版本,還是會有更新的情形。
結語:為了商業上面的利益考量,原來單純的PDF reader的工具,Adobe逐漸賦予各式各樣不同的功能,希望能藉此維持市場佔有率。但是越多的功能,也表示越多的程式開發風險。這應該是所有軟體公司應該面對的課題。
這裡有些網友的討論。
