De mogelijkheid om uitvoerbare bestanden in PDF-bestanden te verstoppen, wordt inmiddels actief gebruikt voor het infecteren van systemen. De Belgische beveiligingsonderzoeker Didier Stevens kwam op dertig maart met de onthulling dat het inbedden van uitvoerbare bestanden kinderspel is. Adobe Reader toont in dit geval een waarschuwing, maar een deel daarvan kan de aanvaller manipuleren. In het geval van Foxit Reader verscheen er geen enkele melding en werd het ingebedde bestand gewoon uitgevoerd. Inmiddels is er een patch voor Foxit Reader verschenen die nu ook een waarschuwing laat zien.

En dat is nodig, want de Britse virusbestrijder Sophos heeft het eerste kwaadaardige PDF-bestand ontdekt dat deze tactiek toepast. Volgens de tekst die onder de waarschuwing van Adobe Reader staat, is het bestand beschadigd en kan de gebruiker die repareren door "Open" te kiezen. Wie het bestand toch opent, installeert meteen een Trojaans paard. Het gaat in dit geval om het bestand ActiveX.exe in de system32 directory van Windows.

Patch
Beveiligingsexpert Jeremy Conway vraagt zich af of het kwaadaardige PDF-bestand andere PDF-bestanden kan aanpassen. Conway ontwikkelde eerder een 'PDF-worm' die schone PDF-bestanden infecteert. Volgens Conway brengt Adobe morgen een patch voor de Launch action uit, die het uitvoeren van ingebedde bestanden mogelijk maakt. De expert denkt niet dat deze patch het probleem met het infecteren van andere PDF-bestanden oplost. Toch lijkt de update er niet te komen, aangezien Adobe's Brad Arkin inmiddels heeft bevestigd dat de update van morgen Steven's aanval niet verhelpt.

Mickey Boodaei van beveiligingsbedrijf Trusteer is niet verbaasd dat aanvallers de tactiek van Stevens gebruiken. "De informatie van Didier is erg duidelijk, erg eenvoudig te reproduceren en de aanval lijkt erg effectief."