-SEGURIDAD-Antivirus vulnerables al "Filename Bypassing"

30/09/2005 - 13:56 por Verónica B. | Informe spam
Según un reporte de SecuBox Labs., publicado por
SecuriTeam.com, algunos programas antivirus no examinan
nombres de archivos que contengan caracteres ASCII no
imprimibles, y por lo tanto, en lugar de bloquearlos,
simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsnt...2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

Fuente: www.vsantivirus.com


saludos
Verónica B.(ez az én aláírásom)
 

Leer las respuestas

#1 Claudio Soriano
01/10/2005 - 17:49 | Informe spam
Veronica como andas?Hiciste la prueba correspondiente en tu Avast ;-) no es
tan malo despues de todo no? Saludos Claudio Muy buen aporte.Gracias
"Verónica B." escribió en el mensaje
news:%23%
Según un reporte de SecuBox Labs., publicado por
SecuriTeam.com, algunos programas antivirus no examinan
nombres de archivos que contengan caracteres ASCII no
imprimibles, y por lo tanto, en lugar de bloquearlos,
simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsnt...2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

Fuente: www.vsantivirus.com


saludos
Verónica B.(ez az én aláírásom)


Preguntas similares