Secubox Labs reporta una vulnerabilidad, mediante la cual es posible que ciertos archivos especialmente alterados conteniendo virus puedan traspasar el escaneo del sistema antivirus sin ser detectados.
El archivo malicioso que traspase el escaneo del antivirus, no representa un riesgo real, ya que debe ser extraído del archivo RAR, luego de lo cual, será detectado correctamente.
A diferencia de Winzip o BitZipper, los cuales no permiten la apertura del archivo alterado, WinRAR lo abrirá y lo extraerá.
Los formatos posibles son:
*.RAR, *.ZIP, *.CAB, *.ARJ, *.LZH, *.ACE, *.TAR, *.GZ (GZIP)
*.UUE, *.BZ2, *.JAR, *.ISO, *.7Z, *.Z
Pruebas de concepto: se ha utilizado el string de prueba Eicar
Descarga Prueba de concepto 1:
http://shadock.net/secubox/demo/SecuBox_AVPoC1.rar
Descarga Prueba de concepto 2:
http://shadock.net/secubox/demo/SecuBox_AVPoC2.rar
El archivo malicioso debe comenzar con un encabezado MZ falso.
(mas detalles en el reporte original de Secubox Labs)
Nota 1: Para BitZipper & WinZip el archivo esta corrupto
Nota 2: Algunos productos (p. ej. Avast), detectan la prueba de concepto 2 pero no la 1.
Productos afectados:
* Kaspersky Antivirus
* BitDefender Antivirus
* NOD32 Antivirus
* F-Prot Antivirus
* Avast Antivirus
* McAfee Antivirus
* Sophos Antivirus
* Symantec Antivirus
* Dr.Web Antivirus
* Avira Antivirus
* Norman Virus Control Antivirus
* Fortinet Antivirus
* VBA32 Antivirus
* Rising Antivirus
* AntiVir Antivirus
* eTrust-Iris Antivirus
* ArcaVir Antivirus
* eTrust-Vet Antivirus
* UNA Antivirus
* TheHacker
[+] Probablemente otros más .....
Productos no afectados:
* Grisoft AVG AntiVirus
* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal
Descubierto por: fRoGGz
Creditos: SecuBox Labs
Calificado como: Medianamente crítico
Chequeado en : Windows 2000 SP2 & SP4
Chequeado con: Jotti Online Antivirus Scanner
Chequeado con: VirusTotal Online Antivirus Scanner
Chequeado con: Command line freeware UnRAR v3.50
Referencias:
SecuBox Labs: Multiple Antivirus detection bypass by special crafted archive
Actualización (A):
Agregada Prueba de concepto 3:
http://shadock.net/secubox/demo/SecuBox_AVPoC3.cab
Se agregan a la lista de productos afectados:
* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal
Unico producto que detecta las primeras 3 pruebas de concepto:
* Grisoft AVG AntiVirus
Actualización (B):
Agregada Prueba de concepto 4:
http://shadock.net/secubox/demo/SecuBox_AVPoC4.arj
Unico producto que detecta las primeras 4 pruebas de concepto:
* Grisoft AVG AntiVirus
Actualización (C):
Agregada Prueba de concepto 5:
http://shadock.net/secubox/demo/SecuBox_AVPoC5.arj
Ninguno de los antivirus testeados detecta la totalidad de los archivos Pruebas de concepto.
Ver el detalle de cada test en el reporte original de SecuBox Labs
Muchas gracias a fRoGGz por avisar de la actualización del reporte.