Tags Palabras claves

-SEGURIDAD-Antivirus vulnerables al "Filename Bypassing"

30/09/2005 - 13:56 por Verónica B. | Informe spam
Según un reporte de SecuBox Labs., publicado por
SecuriTeam.com, algunos programas antivirus no examinan
nombres de archivos que contengan caracteres ASCII no
imprimibles, y por lo tanto, en lugar de bloquearlos,
simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsnt...2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

Fuente: www.vsantivirus.com


saludos
Verónica B.(ez az én aláírásom)

Preguntas similare

Leer las respuestas

#6 Verónica B.
01/10/2005 - 20:15 | Informe spam
Hola Claudio,

No aún no he podido hacerla pero la haré y... no hay de que.
saludos
Verónica B.(ez az én aláírásom)


"Claudio Soriano" escribió en el mensaje
news:%23bDuK$
Veronica como andas?Hiciste la prueba correspondiente en tu Avast ;-) no


es
tan malo despues de todo no? Saludos Claudio Muy buen aporte.Gracias
"Verónica B." escribió en el


mensaje
news:%23%
> Según un reporte de SecuBox Labs., publicado por
> SecuriTeam.com, algunos programas antivirus no examinan
> nombres de archivos que contengan caracteres ASCII no
> imprimibles, y por lo tanto, en lugar de bloquearlos,
> simplemente los ignoran.
>
> El problema reportado, ocurre porque algunos productos no
> examinan archivos que contengan caracteres ASCII extendidos,
> o caracteres menores al caracter de espacio (ASCII 32). Un
> atacante podría renombrar un archivo malicioso, de tal modo
> que el antivirus lo ignore.
>
> En el sitio original, se publica una prueba de concepto
> (PoC), que consiste en descargar un archivo que es detectado
> como virus, y renombrarlo para que no sea detectado. Sin
> embargo, sugerimos utilizar para ello el "EICAR test file", o
> "Eicar Archivo de prueba", que en realidad no es un código
> malicioso, y puede ser utilizado sin peligro alguno para este
> tipo de pruebas (ver "Relacionados").
>
> El EICAR test file puede ser descargado de cualquiera de las
> siguientes direcciones (en todos los casos es el mismo
> archivo sin comprimir, y dentro de archivos ZIP):
>
> http://www.eicar.org/download/eicar.com
> http://www.eicar.org/download/eicar_com.zip
> http://www.eicar.org/download/eicarcom2.zip
>
> Si usted tiene un antivirus monitoreando, debería recibir una
> advertencia de virus EICAR cuando descargue el primero de los
> archivos, al intentar ejecutarlo, o al descomprimirlo.
>
> Una vez descargado, deberá deshabilitar temporalmente
> cualquier opción de monitoreo en tiempo real, o escaneo de
> archivos durante el acceso (esto varía según el producto).
> Durante el tiempo de la prueba, no haga clic sobre ningún
> otro archivo, salvo los indicados.
>
> Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
> donde "?" deberá introducirlo pulsando la tecla ALT, y sin
> soltarla, pulsando el número "1" del teclado numérico.
>
> ALT + un número del teclado numérico, genera el valor del
> código ASCII correspondiente a cualquier caracter de 0 a 255.
> El caracter ASCII 1, es un caracter no imprimible. Por
> ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
> mayúscula. Una tabla de caracteres ASCII puede ser consultada
> en el siguiente enlace: http://www.lookuptables.com
>
> Una vez renombrado, intente examinar el archivo de forma
> normal (cada antivirus provee su mecanismo para examinar un
> archivo determinado bajo demanda, generalmente basta con
> pulsar el botón derecho sobre el archivo en cuestión, y
> seleccionar alguna opción agregada por el antivirus en el
> menú contextual para este tipo de examen).
>
> Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
> Archivo de prueba" o similar, el producto no es afectado por
> esta vulnerabilidad.
>
> Luego de ello, reactive en su antivirus la opción de
> monitoreo en tiempo real, o escaneo de archivos durante el
> acceso, y haga doble clic sobre el archivo EICAR?.COM.
>
> Si el antivirus impide esta acción, bloqueando el archivo y
> mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
> prueba", etc., su antivirus es inmune a este problema.
>
> Si por el contrario el EICAR?.COM se ejecuta sin ninguna
> advertencia del antivirus, además de averiguar que su
> antivirus es vulnerable, todo lo que ocurrirá será la
> aparición de una ventana DOS con este único texto:
>
> EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
>
> Recuerde que no hay peligro de daño alguno, debido a que no
> se trata de un virus real (en el artículo "¡Pruebe si
> realmente su antivirus lo está protegiendo!",
> http://www.vsantivirus.com/eicar-test.htm, se explica esto
> detalladamente).
>
>
> * Productos vulnerables:
>
> En el reporte original, se incluye a los siguientes productos
> como vulnerables:
>
> - BitDefender Antivirus
> - Trustix Antivirus
> - Avast! Antivirus
> - Cat Quick Heal Antivirus
> - Abacre Antivirus
> - VisNetic Antivirus (solo en escaneo manual)
> - AntiVir Personnal Edition Antivirus
> - Clamav for Windows Antivirus
> - Antiy Ghostbusters Professional Edition
>
>
> * Productos inmunes:
>
> De los productos examinados, los siguientes son inmunes a
> este problema:
>
> - Kaspersky Antivirus
> - AVG Free
> - NOD32
>
> NOTA VSA: Aún cuando en la alerta publicada originalmente no
> se menciona a NOD32, lo hemos agregado a nuestro reporte ya
> que este antivirus es inmune a este tipo de engaño. Nótese
> que tampoco se han publicado los datos de otros antivirus, lo
> que no significa que los mismos sean vulnerables o no.
>
>
> * Referencias:
>
> AntiVirus Filename Bypassing
> http://www.securiteam.com/windowsnt...2KGUQ.html
>
>
> * Relacionados:
>
> ¡Pruebe si realmente su antivirus lo está protegiendo!
> http://www.vsantivirus.com/eicar-test.htm
>
> Fuente: www.vsantivirus.com
>
>
> saludos
> Verónica B.(ez az én aláírásom)
>
>





avast! Antivirus: Mensaje entrante limpio.
Base de datos de Virus (VPS): 0539-3, 30/09/2005
Comprobado el: 01/10/05 03:14:07 p.m.
avast! - copyright (c) 1988-2005 ALWIL Software.
http://www.avast.com



Respuesta Responder a este mensaje
#7 Claudio Soriano
01/10/2005 - 20:34 | Informe spam
Anda perfecto la prueba no da ningun resultado erroneo y el NOD32 tambien
anda impecable.Saludos Claudio
"David Horno" escribió en el mensaje
news:
Según el artículo, pone que es vulnerable.


"Claudio Soriano" escribió en el mensaje
news:%23bDuK$
Veronica como andas?Hiciste la prueba correspondiente en tu Avast ;-) no
es tan malo despues de todo no? Saludos Claudio Muy buen aporte.Gracias
"Verónica B." escribió en el
mensaje news:%23%
Según un reporte de SecuBox Labs., publicado por
SecuriTeam.com, algunos programas antivirus no examinan
nombres de archivos que contengan caracteres ASCII no
imprimibles, y por lo tanto, en lugar de bloquearlos,
simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsnt...2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

Fuente: www.vsantivirus.com


saludos
Verónica B.(ez az én aláírásom)










Respuesta Responder a este mensaje
#8 Claudio Soriano
01/10/2005 - 20:34 | Informe spam
Anda perfecto la prueba no da ningun resultado erroneo y el NOD32 tambien
anda impecable.Saludos Claudio
"David Horno" escribió en el mensaje
news:
Según el artículo, pone que es vulnerable.


"Claudio Soriano" escribió en el mensaje
news:%23bDuK$
Veronica como andas?Hiciste la prueba correspondiente en tu Avast ;-) no
es tan malo despues de todo no? Saludos Claudio Muy buen aporte.Gracias
"Verónica B." escribió en el
mensaje news:%23%
Según un reporte de SecuBox Labs., publicado por
SecuriTeam.com, algunos programas antivirus no examinan
nombres de archivos que contengan caracteres ASCII no
imprimibles, y por lo tanto, en lugar de bloquearlos,
simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsnt...2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

Fuente: www.vsantivirus.com


saludos
Verónica B.(ez az én aláírásom)










Respuesta Responder a este mensaje
#9 Joan Ballart
06/10/2005 - 22:21 | Informe spam
Depues de bajar un zip presuntamente infectado, borrar los archivos temp de
windows.

joan ballart

"Verónica B." escribió en el mensaje
news:%23%
Según un reporte de SecuBox Labs., publicado por
SecuriTeam.com, algunos programas antivirus no examinan
nombres de archivos que contengan caracteres ASCII no
imprimibles, y por lo tanto, en lugar de bloquearlos,
simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsnt...2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

Fuente: www.vsantivirus.com


saludos
Verónica B.(ez az én aláírásom)


Respuesta Responder a este mensaje
#10 Joan Ballart
06/10/2005 - 22:21 | Informe spam
Depues de bajar un zip presuntamente infectado, borrar los archivos temp de
windows.

joan ballart

"Verónica B." escribió en el mensaje
news:%23%
Según un reporte de SecuBox Labs., publicado por
SecuriTeam.com, algunos programas antivirus no examinan
nombres de archivos que contengan caracteres ASCII no
imprimibles, y por lo tanto, en lugar de bloquearlos,
simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsnt...2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

Fuente: www.vsantivirus.com


saludos
Verónica B.(ez az én aláírásom)


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida