Virus au format PDF ("Peach")
Date : 11 Juillet 2005
Le premier virus impactant les fichiers PDF a été découvert ce mois-ci.
Peach (Peachy ou OUTLOOK.PDFWorm), dont c'est le nom, se présente comme un "prototype" pour ce nouveau genre de virus. Ainsi, sa seule action est de se propager à travers le client de messagerie Outlook de Microsoft.
La nouveauté dans ce virus écrit en VBS est qu'il s'attaque à un format de document réputé comme sûr jusqu'à présent, le format PDF (Portable Document Format).
Peach se présente comme un document PDF attaché à un e-mail. Une fois ouvert, le document affiche des instructions relatives à un jeu et propose un lien sur lequel l'utilisateur est invité à cliquer. C'est cette action qui déclenche l'exécution du virus.
Néanmoins, seuls peuvent être infectés les utilisateurs possédant la version complète (commerciale) d'Adobe Acrobat (version 5 ou supérieure); cette dernière permettant l'exécution de code à partir de document PDF. Les personnes ne possédant que le lecteur Acrobat Reader ne sont pas "vulnérables".
Peach représente cependant une nouvelle menace pour le monde des anti-virus car peu d'entre eux prennent en compte le format PDF dans leur analyse (à la volée ou sur demande). Ainsi, il est recommandé de configurer ce nouveau type de format au niveau des anti-virus et de le mettre à jour avec les signatures adéquates.
Caractéristiques du message contenant le virus "Peach" :
- Sujet :
- "You have one minute to find the peach" ou
- "Find the peach" ou
- "Find" ou
- "Peach", ou
- "Joke"
- Contenu :
- "Try finding the peach" ou
- "Try this" ou
- "Interesting search" ou
- "I don't usually send this things, but..."
- Fichier attaché :
- find.pdf " ou
- "peach.pdf" ou
- "find the peach.pdf"ou
- "find_the_peach.pdf" ou
- "joke.pdf" ou
- "search.pdf"
Pour plus d'information :
- Document de F-Secure : http://www.datafellows.com/v-descs/pdf.shtml
- Document de NAI : http://vil.nai.com/vil/dispVirus.asp?virus_k=99179
- Document de Sophos : http://www.sophos.com/virusinfo/analyses/vbspeachypdfa.html
- Document de Symantec : http://www.symantec.com/avcenter/venc/data/vbs.peachypdf@mm.html
- Document de Trend Micro : http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_PEACHYPDF.A