Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Cómo engañar a los antivirus con Outlook Express
|
|
VSantivirus No. 798 - Año 6 - Sábado 14 de setiembre de 2002
Cómo engañar a los antivirus con Outlook Express
http://www.vsantivirus.com/oe-bypass.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Una característica que presenta por defecto el Outlook Express, podría habilitar el camino a futuras creaciones víricas para engañar al software de protección.
Outlook Express es capaz de enviar mensajes de gran tamaño, divididos en paquetes más pequeños para evitar problemas con el ancho de banda consumido. Al recibirlo el destinatario, estos paquetes pueden volver a ser unidos en uno solo.
Esta característica es llamada 'message fragmentation and re-assembly' (MFR), pero no es solo una habilidad del OE, sino que se trata de un estándar en Internet (RFC 2046, sección 5.2.2.1).
A pesar de ser un estándar, el problema es que Outlook Express es el único software que soporta la unión de estos paquetes fragmentados por defecto, sin que el usuario deba hacerlo de forma premeditada.
Pero además, con esta opción, cualquier código maligno podría saltearse varios filtros de contenido, incluidos los proporcionados por los servidores SMTP, cortafuegos y los propios antivirus.
Una de las sugerencias de algunas de las empresas de seguridad que han estudiado el problema, es que los antivirus incluyan herramientas que unan estas partes antes de examinarlas, o incluso que bloqueen directamente los mensajes divididos de esta manera, como lo hace Symantec.
En la siguiente dirección se proporcionan varios tests, entre ellos uno para probar si su software es vulnerable:
http://www.gfi.com/emailsecuritytest/.
Seleccione el test "Fragmented message vulnerability test".
Referencias:
Bypassing SMTP Content Protection with a Flick of a Button
http://www.securiteam.com/securitynews/5YP0A0K8CM.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|