19/10/2004 Salto de análisis de archivos comprimidos en múltiples antivirus

23/10/2004 - 01:15 por { Memmito } (PUERCO chupapoYas) comemela | Informe spam
http://www.hispasec.com/unaaldia/2187
Se ha anunciado la existencia de un problema en el tratamiento de
archivos zip en los motores antivirus de McAfee, Computer Associates,
Kaspersky, Sophos, Eset y RAV por la que un usuario malicioso podría
construir un archivo comprimido con virus de forma que evite ser
analizado. No se han mostrado vulnerables las últimas versiones de
BitDefender, Panda, Symantec y Trendmicro.

Concretamente el problema reside en el tratamiento de las cabeceras de
los archivos .zip. Un archivo .zip almacena la información sobre los
archivos comprimidos en dos lugares, una cabecera local y otra global.
La cabecera local se localiza al comienzo de los datos comprimidos de
cada uno de los archivos mientras que la cabecera global se sitúa al
final del archivo .zip.

Sin embargo es posible modificar el tamaño descomprimido de los
archivos almacenados en ambas cabeceras sin que esto llegue a afectar
a
su funcionalidad. Un atacante podrá comprimir un archivo con código
malicioso y evitar la capacidad de detección de algunos antivirus
modificando la información del tamaño descomprimido en ambas cabeceras
a cero. Este problema ha sido confirmado tanto por WinZip y Microsoft
Compressed Folders.

McAfee en la actualización de su motor, con el DAT 4320 ha mejorado la
protección de los archivos comprimidos y evita este problema. En caso
de encontrar un archivo comprimido de estas características se muestra
el mensaje "Found the Exploit-Zip Trojan!".

Kaspersky ha comunicado que en la próxima actualización acumulativa de
sus motores 3.x-4.x se corregirá el problema. Para los antivirus de la
versión 5.0 recomiendan esperar al siguiente paquete de mantenimiento
que se publicará este mes.

Eset actualizó los motores en el módulo versión 1.020 publicado el
pasado 16 de septiembre 2004.

Computer Associates de igual forma ha corregido el problema en una
serie de actualizaciones del motor de descompresión Arclib.dll. La
información sobre estas actualizaciones se encuentra disponible en:
http://supportconnectw.ca.com/publi...b_vuln.asp

Sophos ha mejorado su motor de análisis para tratar con los archivos
zip mal construidos. La versión 3.87.0 de Sophos Anti-Virus para todos
los sistemas operativos excepto para Windows 95/98/Me incluye esta
corrección los usuarios tendrán la actualización automática a esta
versión a través de EM Library de 20 de octubre de 2004 o bien estará
disponible para descarga desde el próximo día 22. Sophos Anti-Virus
para Windows 95/98/Me será actualizado en la versión 3.88.0
(disponible
el 24 de noviembre de 2004).
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2187/comentar

Más Información:

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
http://www.idefense.com/application/poi/display?id3&type=vulnerabilit&flashstatus=true

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
http://www.securiteam.com/securityn...2ABFY.html
Antonio Ropero
 

Leer las respuestas

#1 Nennito
23/10/2004 - 13:26 | Informe spam
"{ Memmito } (PUERCO chupapoYas) comemela"
escribió en el mensaje news:



!!! ME CAGO Y ME MEO EN EL ESPÍRITU SANTO EN LA BOCA DE TÚ PUTREFACTA MADRE
Y EN TODA TÚ MIERDA DE FAMILIA !!!


!!! QUE OJALÁ QUEDES TETRAPLÉGICO DE UN ACCIDENTTE DE TRÁFICO, Y QUE PASES
LARGOS AÑOS EN UNA CAMA LLENO DE TUBOS, SUFRIÉNDO LOS DOLORES MÁS
INSOPORTABLES Y CAGÁNDO CONTINUAMENTE HECES LÍQUIDAS POR TÚ PUTREFACTO CULO
ME CAGO Y ME MEO EN DIOS SÓ ESCORIA DE MIERDA PUTREFACTA !!!


!!! ME CAGO Y ME MEO EN DIOS, EN LA VIRGEN, EN LA HOSTIA EN TODOS LOS SANTOS
Y EN EL ESPÍRITU SANTO !!!

!!! SO MEMO DE MIERDA ME CAGO Y ME MEO EN LA BOCA DE TÚ PUTREFACTA MADRE, EN
TODA TÚ MIERDA DE FAMILIA PUTREFACTA, Y EN TODOS TÚS CADÁVERES !!!







Acabando con los spamers se acaba con el spam.

Denuncia a los Spamers redireccionando sus mensajes
con propiedades a la administraciones correspondientes.

Incumplimiento LSSI --> info arroba mcyt.es
Software Pirata --> webmaster arroba bsa.org
Delitos Informáticos --> delitos.tecnologicos arroba policia.es
Delitos Informáticos --> uco-delitoinformatico arroba guardiacivil.es
Pornografia Infantil --> denuncias.pornografia.infantil arroba policia.es
Pornografia Infantil --> uco-denunciapedofilia arroba guardiacivil.es
Porn. Inf. Internac. --> children arroba interpol.int

************************



Estaría dispuesto a uno de mís ojos donar
sí mi grave enfermedad mental
por un cáncer o lo que ahora llaman sida pudiera cambiar.
* Nennito *

IP Fija: 80.34.155.11

Preguntas similares