A mai exploitokkal terhes, vérzivataros időkben érdemes lehet a szimpla rákattintás helyett megvizsgálni a kapott, e-mailben érkezett, weboldalon található PDF állományokat, mert az ördög nem alszik.
Minden állomány fejléc- és fájlszerkezetében lehetnek olyan értékek, amik lehetőséget adnak barkácsolásra, trükközésre, exploit kód vagy kártékony JavaScript program beillesztésére. Nem kivételek ezalól a manapság annyira népszerű PDF, azaz Portable Document Format alapú fájlok sem. Pontosan emiatt került be a VirusTotal eszközei közé a PDFiD nevű alkalmazás, amellyel kontrollálhatjuk, van-e gyanús adatsor a megnyitni kívánt állományban. A PDFiD a PE EXE fejléc elemző segédprogramokkal szemben nem egy valódi elemző (parser), hanem ismert, veszélyes stringrészleteket keres, és aztán ennek alapján értékeli ki az állományt.
Nemrég olvashattunk arról, hogy egy vírusirtó programnál a PDF feldolgozó modult javítani kellett, mert csak "bambán" kereste a "%PDF" karaktersorozatot, amelynek megtalálása után kezdi a kiértékelést. Ha esetleg egy manipulált PDF-ben nem volt ilyen, akkor például a Kaspersky program nem ismerte fel PDF-ként a vizsgálandó állományt.
Egyébként nem segít mindig pusztán az alternatív PDF olvasók használata sem, bár az Adobenál jobban járunk vele a sebezhetőség és a sebesség tekintetében is, de sérülékenységek természetesen vannak a Foxit Readerhez is. Sőt, az Adobe és a Foxit az offset értékeket figyelmen kívül hagyva vígan megnyit piszkált fejlécű PDF állományokat is, és sajnos a bennük lévő JavaScript kódokat is lefuttatja.
Érdemes lehet megkérdezni orvosunkat-gyógyszerészünket, illetve kicsit Microsoftosan fogalmazva kizárólag megbízható (hehe) helyről származó PDF-eket nyissunk csak meg - legalábbis nekifutásból -, míg a kérdőjelesek járjanak el előtte egy násztáncot a VirusTotalon, és csak az eredmény ismeretében bökjünk a megnyitásra.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.06.19. 20:31:34
blogs.technet.com/mmpc/archive/2009/06/17/pdf-e-ducation.aspx