10 sierpnia 2001

Format PDF padł ofiarą robaka internetowego "Peach".

Kaspersky Lab, międzynarodowy producent oprogramowania antywirusowego, informuje o wykryciu robaka internetowego "Peach" wykorzystującego do rozprzestrzeniania się pliki PDF (Adobe Acrobat).

"Peach" jest przeciętnym, szkodliwym sktyptem napisanym w języku Visual Basic (VBS). Cechą odróżniającą go od innych tego typu robaków jest to, że może on wykorzystywać do rozprzestrzeniania się pliki PDF. Zdolność ta opiera się na wewnętrznym formacie plików PDF, pozwalającym autorowi wirusa na umieszczenie w jego treści innych programów np.: skryptów VBS.

"Peach" pojawia się na atakowanym komputerze w postaci załącznikia do wiadomości e-mail. Nazwa załącznika jest losowo wybierana z listy znajdującej się w kodzie robaka. Po uruchomieniu załącznika "Peach" uruchamia program Adobe Acrobat lub Adobe Acrobat Reader (jeżeli są zainstalowane) i wyświetla dokument o następującej zawartości:

Plik PDF zachęca użytkownika do gry w prostą grę zawartą w dokumencie polegającej na znalezieniu brzoskwini na załączonym obrazku. By ułatwić zadanie użytkownikowi istnieje możliwość kliknicia na ikonie i uzyskania odpowiedzi. Jednak ikona mająca wyświetlić odpowiedź jest osadzonym obiektem VBS. Po kliknięciu na nim, obiekt jest aktywowany. Program Adobe Acrobat (Acrobat Reader nie ma możliwości aktywowania osadzonych obiektów) wydobywa kod robaka, kopiuje go do pliku tymczasowego i uruchamia. Kod wirusa tworzy na dysku plik JPG i wyświetla jego zawartość przy pomocy Internet Explorer. Równocześnie robak szuka na dysku rodzimego pliku PDF i jeżeli odnajdzie, wysyła go do wszystkich odbiorców z Książki Adresowej Outlook. Co ważne Peach nie infekuje innych plików PDF. Jedynie rozsyła swój plik PDF jako załącznik do wiadomości e-mail. Poza tym nie jest specjalnie szkodliwy.

Do chwili obecnej firma Kaspersky Lab nie otrzymała zgłoszeń o infekcji robakiem "Peach".