Traspaso de multiples antivirus mediante archivos comprimidos alterados

Por marcelo-ar - 7 de Octubre, 2005, 3:46, Categoría: General

Secubox Labs reporta una vulnerabilidad, mediante la cual es posible que ciertos archivos especialmente alterados conteniendo virus puedan traspasar el escaneo del sistema antivirus sin ser detectados.

El archivo malicioso que traspase el escaneo del antivirus, no representa un riesgo real, ya que debe ser extraído del archivo RAR, luego de lo cual, será detectado correctamente.

A diferencia de Winzip o BitZipper, los cuales no permiten la apertura del archivo alterado, WinRAR lo abrirá y lo extraerá.

Los formatos posibles son:
*.RAR, *.ZIP, *.CAB, *.ARJ, *.LZH, *.ACE, *.TAR, *.GZ (GZIP)
*.UUE, *.BZ2, *.JAR, *.ISO, *.7Z, *.Z

Pruebas de concepto: se ha utilizado el string de prueba Eicar

Descarga Prueba de concepto 1:
http://shadock.net/secubox/demo/SecuBox_AVPoC1.rar

Descarga Prueba de concepto 2:
http://shadock.net/secubox/demo/SecuBox_AVPoC2.rar

El archivo malicioso debe comenzar con un encabezado MZ falso.
(mas detalles en el reporte original de Secubox Labs)

Nota 1: Para BitZipper & WinZip el archivo esta corrupto
Nota 2: Algunos productos (p. ej. Avast), detectan la prueba de concepto 2 pero no la 1.

Productos afectados:

* Kaspersky Antivirus
* BitDefender Antivirus
* NOD32 Antivirus
* F-Prot Antivirus
* Avast Antivirus
* McAfee Antivirus
* Sophos Antivirus
* Symantec Antivirus
* Dr.Web Antivirus
* Avira Antivirus
* Norman Virus Control Antivirus
* Fortinet Antivirus
* VBA32 Antivirus
* Rising Antivirus
* AntiVir Antivirus
* eTrust-Iris Antivirus
* ArcaVir Antivirus
* eTrust-Vet Antivirus
* UNA Antivirus
* TheHacker
[+] Probablemente otros más .....

Productos no afectados:

* Grisoft AVG AntiVirus
* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal

Descubierto por: fRoGGz
Creditos: SecuBox Labs
Calificado como: Medianamente crítico
Chequeado en : Windows 2000 SP2 & SP4
Chequeado con: Jotti Online Antivirus Scanner

Chequeado con:
VirusTotal Online Antivirus Scanner
Chequeado con: Command line freeware UnRAR v3.50

Referencias:
SecuBox Labs:
Multiple Antivirus detection bypass by special crafted archive


Actualización (A):

Agregada Prueba de concepto 3:

http://shadock.net/secubox/demo/SecuBox_AVPoC3.cab

Se agregan a la lista de productos afectados:

* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal

Unico producto que detecta las primeras 3 pruebas de concepto:

* Grisoft AVG AntiVirus

Actualización (B):

Agregada Prueba de concepto 4:
http://shadock.net/secubox/demo/SecuBox_AVPoC4.arj

Unico producto que detecta las primeras 4 pruebas de concepto:

* Grisoft AVG AntiVirus

Actualización (C):

Agregada Prueba de concepto 5:
http://shadock.net/secubox/demo/SecuBox_AVPoC5.arj

Ninguno de los antivirus testeados detecta la totalidad de los archivos Pruebas de concepto.

Ver el detalle de cada test en el
reporte original de SecuBox Labs

Muchas gracias a
fRoGGz por avisar de la actualización del reporte.

El Blog

Calendario

<<   Octubre 2005  >>
LMMiJVSD
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker