Um PDF pode realmente conter um vírus ou um malware, como?

Simplesmente, qualquer coisa que possa conter alguma forma de código executável pode conter malware, então sim. E os arquivos PDF são geralmente mais do que dados simples, pois você pode tornar o PDF mais dinâmico usando JavaScript.

Obviamente, vulnerabilidades no leitor de PDF, especialmente buffer overruns, também podem causar problemas. Com um buffer overrun, os dados do arquivo são carregados fora de qualquer memória buffer, sobrescrevendo, assim, o que quer que seja que aconteça naquele local. Neste caso, todos os tipos de arquivos de dados podem ser maliciosos por causa de vulnerabilidades no código. No passado, até mesmo arquivos de imagens JPG podiam ser maliciosos, pois havia uma falha em uma biblioteca do Windows que carregava essas imagens.

Both hackers e pesquisadores de segurança estão continuamente procurando por formas de obter código executado em sistemas remotos. Isto significa que qualquer dado pode ser malicioso, pois todos eles podem ter algum código que é executado nos sistemas certos. Mas, em geral, a maioria dos arquivos de dados são seguros, pois encontrar essas vulnerabilidades dá muito trabalho e muitas vezes são rapidamente corrigidas.

Mas há um outro risco com arquivos PDF. Embora isto seja mais provável de ser usado com arquivos JPG. Vários botnets precisam receber mais instruções após infectarem um sistema, mas essas instruções podem ser detectadas e assim interceptadas. Portanto, eles têm que mascarar essas instruções de alguma forma. A maneira mais fácil é usando esteganografia e apenas escondê-las dentro de um arquivo de imagem, já que arquivos de imagem são muitas vezes considerados ok. Mas o malware pode extrair as informações necessárias dessas imagens e agir sobre elas. Mas também deve ser possível incluir instruções dentro de arquivos PDF e vários outros formatos de arquivo. E isso geralmente ultrapassa a maioria dos sistemas de segurança, pois eles vêem "arquivos de dados inocentes" passarem. Mas os arquivos PDF são geralmente um pouco grandes para serem usados para este propósito.