McAfee warnt vor Peachy, einem Wurm, der sich in PDF-Dateien versteckt und über MS Outlook verbreitet. Bisher galten PDF-Dateien als Virensicher. Damit scheint es nun aber vorbei zu sein.
Der Wurm wird allerdings nicht durch das Lesen im Adobe Acrobat Reader sondern nur im Adobe Acrobat aktiviert. Mit Adobe Acrobat lassen sich PDF-Dateien erzeugen. Anders als der Adobe Acrobat Reader ist der Adobe Acrobat kostenpflichtig.
Sowohl die Betreffzeile der Mail mit der der Wurm kommt, als auch der Textkörper können unterschiedliche Texte beinhalten. Das Gleiche gilt für den Name der angehängten Datei, bei der es sich aber immer um eine PDF-Datei handelt. Der Wurm soll aus Argentinien kommen.
Bei VBS/PeachyPDF@MM alais OUTLOOK.PDFWorm alias Peachy handelt es sich um einen VBS-Wurm. Er kommt per Mailanhang und ist eingebettet in eine PDF-Datei. Öffnet ein Benutzer diese PDF-Datei in Adobe Acrobat, so erscheint ein Bild mit einem kleinen Spiel, in dem ein Pfirsich gefunden werden muss – daher der Name Peachy. Ein Doppelklick auf ein Icon mit der angeblichen Lösung des Spiels startet die VBS-Datei (Peach.vbs, Peach.vbe, or Peach.wsf je nach der Version des Wurms). Allerdings erst nachdem eine Dialogbox erschienen und vom Benutzer weggeklickt wurde. Der Wurm versucht sich an die ersten 100 Adressen, die er in MS Outlook findet, zu verschicken.
Peachy nutzt eine Funktion von Acrobat aus, um andere Dateien in eine PDF-Datei einzubinden. Diese eingebetteten Dateien lassen sich aber nur mit dem Acrobat öffnen, nicht jedoch mit dem Reader. “Der Acrobat Reader ist davon nicht betroffen” versichert Sarah Rosenbaum, Direktorin im Adobe Product Management nach einem Bericht von CNet .
Vincent Gullotto, Senior Director der McAfee Avert Group, warnt folglich vor Panikmache: “Bis jetzt kann man das Risiko als niedrig einstufen. Wir haben noch keine Virenmeldung von einem Benutzer erhalten”.
Viel problematischer als die tatsächlich von Peachy ausgehende Gefahr ist die Tatsache, dass mit den PDF-Dateien das Tor zu einem neuen Verbreitungsweg für Viren aufgestoßen wurde. Angesichts der weiten Verbreitung des Adobe Acrobat Reader-Formats kann sich das zu einem ernsten Problem ausweiten.
Sollten kommende Versionen des Adobe Acrobat Reader in der Lage sein, eingebettete Dateien öffnen zu können – wie der Adobe Acrobat es jetzt schon kann – so steht der Verbreitung von Viren nichts mehr im Wege.
McAfee will eigenen Angaben zufolge in der nächsten Woche neue Virensignaturen zur Verfügung stellen. Danach sollte der Virenscanner Peachy erkennen.
Benutzer von Adobe Acrobat sollten beim Öffnen eines Attachements in eine PDF-Datei vorsichtig sein. Bevor die eingebettete Datei gestartet wird, erscheint eine Dialogbox, in der der Benutzer das Öffnen nochmals ausdrücklich bestätigen muss.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.