相關文章

PDF反毒四絕技

Pdf280 啥麼?PDF又有臭蟲!如果你是熬夜準備期中考剛睡醒、三明治咬一半的大學生,碰巧正開了一個PDF文件,那……先別緊張,三明治吞下去再說,再怎麼樣也沒有電腦臭蟲能入侵早餐就是了。(冷~)

說是漏洞,還真是有點抹殺PDF的好意,其實這是一個讓PDF嵌入影片、聲音、應用程式及JavaScript的功能,有點像文件中的巨集程式,但別忘了,巨集程式搞到最後也是演變成惱人的巨集病毒就是了。

假病毒真模擬

最近國外的資安業者就利用「PDF可以嵌入程式」的特性,建立一個挾帶執行檔的PDF文件,雖然Adobe Reader在開啟檔案會跳出警告視窗,但業者卻發現警告視窗的描述文字可以修改,也就是說,只要有心人將描述文字稍作修改,一般人還是會自然地按下「開啟」鈕。該資安業者更進一步示範,讓該檔案變身電腦蠕蟲去感染其它的PDF並連結到某特定網頁,也就是說駭客只要透過這個「功能」,就可以輕易地閃避防毒軟體,進而達到攻擊的目的。

2

▲之前也有內含JavaScript惡意程式的PDF,解決辦法是在「偏好設定」下停用JavaScript和安裝修補程式,但這次可不一樣。

究竟這個弱點實際上是怎麼運作的呢?國外的資安專家Didier Stevens本周把它發表成一個無害的示範程式以供下載,PP當然要下載來看看究竟是怎麼一回事。

3

▲下載後解壓縮,看起來它就是個普通的PDF文件。

4

▲點擊後,你會發現它會跳出「啟動檔案」的視窗問你要不要開啟,PP相信大部份的人連看都不看就毫不猶豫的打開吧!唉~

5

▲開啟後,示範程式會「順便」將cmd的視窗打開…但惡意程式可就不會這麼Peace囉。

要我怎麼解

因為這個問題最近才被爆出來,Adobe跟Foxit這兩家PDF閱讀器公司也還在研究該如何處理這個「功能」所衍生出來的問題,但我們總不能從今天起就坐著等它們想到解決方法再開PDF吧,所以這邊提供一些方法給大家做參考。

解法一:調整偏好

6

▲Adobe Reader的玩家可以在「偏好設定」下的「信任管理程式」中調整存取權限,讓執行檔無法運作。

解法二:在雲上看PDF

7

▲Google文件可以支援觀看PDF,雖然上傳會有點麻煩,但如果頻寬還可以、檔案也不算大,在雲上看倒是個相當安全的作法。

解法三:改用陽春的閱讀器

8

▲俗話說得好,樹大招風。功能強困擾也多,像是SumatraPDF這種簡便的閱讀器,它不支援這些拉哩拉喳的功能,反而躲過一劫。

解法四:轉成Doc

9

▲雖然轉成Doc檔可能更花時間,但也是一個方法,往好處想還可以編輯裡頭的文字不是嗎?(但轉換有時字體格式會亂掉,也是麻煩的地方)

最後,不免還是要嘮叨一下,不管是什麼,來路不明的檔案盡量不要下載或點開,至少…不要在自己的電腦裡打開要多注意一點就是了。

使用 Facebook 留言

柚子
1.  柚子 (發表於 2010年4月12日 12:26)
或者來路不明的檔案一律用虛擬機器開啟?(有人會這麼費工嗎?)
76cfc91c1376214ca95c40ecead94e1a?size=48&default=wavatar
3.  Nathaniel (發表於 2010年4月12日 21:48)
@柚子
這樣才是標準做法吧
用VMWare裡面先snapshot再拖檔案進去開
如有問題在snapshot回去

總比主系統中鏢好
諸葛PP
5.  諸葛PP (發表於 2010年4月13日 21:20)
對非玩家級的使用者來說虛擬機器可能會麻煩點…但也不失為一個辦法.

儘量不要下載「不明」的檔案,現在的病毒都不太以「攻擊」為目的,這才是可怕的地方…

to zinklink:excel也是有巨集的哦!

無痕
6.  無痕 (發表於 2010年4月15日 22:27)
除了虛擬機,也是可以用沙盒來開,像我目前用的 Sandboxie,強制將登錄及檔案之存取都隔離在盒子之內,此外 Sandboxie 也可以右鍵選單開啟,平常用它開瀏覽器或外來檔案會比較安全。
不過 Sandboxie 有警告驅動層的部份選項不允許開啟,因為層級不同。

同理,用來開 WORD 等檔案也建議先用沙盒來開。
但本人不保證絕對安全,總之資安習慣及觀念才是重要的。
只是 Sandboxie 要錢,但我個人覺得是可以花錢買來用的說。

這是它的官網,以前這個還沒中文版呢,都是我們熱心的中文化壇友在做:
http://www.sandboxie.com/index.php?DownloadSandboxie

發表回應

謹慎發言,尊重彼此。按此展開留言規則