Zulu slår til med orm mot pdf-filer

Adobes pdf-format betraktes som usårlig for virus og ormer. Hackeren Zulu har laget en "proof of concept" som bryter ned denne forestillingen.

Zulu har en egen avdeling på hackerforumet Coderz.net der den antatte argentineren legger ut kildekode for sine ormer og virus etter hvert som han gjør seg ferdig med dem. Han er tidligere erkjent opphavsretten til Life Stages, Bubbleboy, Monopoly og Freelinks.

Den siste i rekken av Zulus bedrifter, er en orm han kaller Outlook.pdfWorm. Den er et bevis på at det går an, i motsetning til det Adobe og den øvrige programvarebransjen hittil har trodd, å bruke Adobes pdf-format til å spre ondsinnet kode.

Pdf-formatet ("portable document format") brukes for å spre strengt formaterte dokumenter elektronisk, både på Internett og innen grafisk bransje. Pdf-dokumenter kan leses av gratisverktøyene Acrobat Reader og Adobe eBook Reader, men kan bare redigeres av det fullverdige Acrobat-programmet. Zulus Outlook.pdf-orm krever at brukeren åpner pdf-filen i Acrobat. Den skadelige koden kan ikke aktiveres gjennom noen av gratisprogrammene.

Pdf-formatet er blant dem Microsoft ikke garderer mot, selv i de strengeste filtrene for Outlook. Det betyr at Outlook alltid vil slippe gjennom vedlegg i pdf-formatet. Den eneste advarselen kommer fra Acrobat selv: Adobe har lagt inn en ordning der brukeren må bekrefte at aktiv kode skal kjøres.

Bare en gang tidligere har det vært stilt spørsmål ved usårligheten til pdf-formatet. I september i fjor kunngjorde det halvoffentlige amerikanske Computer Emergency Response Team et hull i Windows-versjonen av Acrobat Reader som kunne gjøre det mulig for en utenforstående å skaffe seg adgang til en maskin der en pdf-fil ble lest. Dette hullet ble straks tettet igjen av Adobe.

Pdf-filen i Zulus nye orm viser et enkelt spill. For å se løsningen på spillet, må brukeren klikke på et område som aktiverer et skript. Dette skriptet viser løsningen på spillet som jpg-fil. Samtidig setter det i gang en prosess som sender pdf-filen videre til e-postadresser det finner i mappene til e-postklienten Outlook.

Zulu skriver at ormen først og fremst er ment som et bevis på at det er mulig å bruke pdf-formatet til å spre ondsinnet kode, og at den ikke er spesielt effektiv. Han legger til at Outlook brukes på en helt ny måte. I stedet for å gå direkte til adresseboka, henter ormen e-postadresser fra e-post oppbevart i alle slags Outlook-mapper. Det vil si at ormen ikke utløser varsler i virusvern som utløser en alarm når uvedkommende kode prøver å få adgang til Outlooks adressebok.

Ormens egenskaper bekreftes fra eksperthold. Teknisk ansvarlig Richard Smith fra Privacy Foundation har tatt initiativ til en diskusjon om den på Bugtraq.

Ifølge News.com har Network Associates sendt ut en advarsel gjennom sin virusvernavdeling McAfee, der ormen gis kallenavnet "Peachy". En talsperson for Adobe bekrefter ormens egenskaper, men forsikrer at Reader ikke er sårbart. Han mener det er uunngåelig at populære programmer angripes av virusmakere, og at den eneste løsningen er å endre Acrobat slik at programmet ikke lenger er i stand til å kjøre integrerte skripter. Dette må eventuelt avgjøres i en dialog med kundene, sier han.

Til toppen