Fallo de detección de virus en archivos ZIP

Fallo de detección de virus en archivos ZIP
	VSantivirus No. 1708 Año 9, viernes 11 de marzo de 2005 Fallo de detección de virus en archivos ZIP http://www.vsantivirus.com/vul-bugtraq-12771.htm Por Angela Ruiz angela@videosoft.net.uy Se ha reportado que múltiples productos antivirus son propensos a una vulnerabilidad que podría permitir que un código potencialmente peligroso dentro de un archivo .ZIP, eluda la detección del antivirus afectado. El problema se produce cuando un producto vulnerable procesa un archivo .ZIP con un CRC-32 checksum inválido. CRC-32 es un "Código de Redundancia Cíclica", en este caso basado en 32 bits, utilizado para comprobar si un archivo ha sido modificado. Para esto no se adiciona nueva información al archivo (es por ello que se le dice redundante), sino que se hace el cálculo de comprobación directamente del archivo original utilizando un algoritmo bien definido, de tal forma que pueda determinarse si un error ha sido introducido en el archivo comprimido. El impacto de esta vulnerabilidad es bajo, ya que aunque el software afectado no detecte el archivo malicioso comprimido dentro del ZIP, seguramente lo hará cuando el ZIP sea descomprimido. Además, es muy probable que el programa o proceso que lo descomprima falle al intentar hacerlo, avisando que el archivo está corrupto ("Valor CRC incorrecto. El archivo puede estar dañado"). Esto significa que un archivo malicioso contenido en tal ZIP, no sería directamente accesible. Por otra parte, aún si se lograra extraer el contenido malicioso, al intentar copiarlo en el disco duro un antivirus actualizado deberá igualmente interceptarlo, protegiendo de todos modos al usuario. Se ha publicado como prueba de concepto (PoC), un archivo .ZIP que contiene el archivo de prueba EICAR: http://www.geocities.com/visitbipin/happy-crc.zip NOTA: El EICAR test file sirve justamente para probar la funcionalidad del software antivirus, dándole a éste la oportunidad de detectarlo durante los procesos de escaneo, al mismo tiempo que no implica un riesgo para la seguridad de la computadora en la cuál se efectúa la prueba, sencillamente porque no se trata realmente de un virus. Más información: ¡Pruebe si realmente su antivirus lo está protegiendo! http://www.vsantivirus.com/eicar-test.htm Software afectado (según VirusTotal al 11/3/05, 06:00 -0200): - AntiVir 6.30.0.5/20050310 found nothing - AVG 718/20050309 found nothing - BitDefender 7.0/20050311 found nothing - DrWeb 4.32b/20050310 found nothing - F-Prot 3.16a/20050310 found nothing - Kaspersky 4.0.2.24/20050311 found nothing - McAfee 4444/20050310 found nothing - Norman 5.70.10/20050310 found nothing - Symantec 8.0/20050310 found nothing Software afectado (según VirusTotal al 11/3/05, 20:45 -0200): - F-Prot 3.16a/20050311 found nothing - Kaspersky 4.0.2.24/20050311 found nothing - McAfee 4445/20050311 found nothing - Norman 5.70.10/20050310 found nothing - Sybari 7.5.1314/20050311 found nothing - Symantec 8.0/20050311 found nothing Software NO afectado (según VirusTotal al 11/3/05, 06:00 -0200): - ClamAV devel-20050307/20050310 found [Eicar-Test-Signature] - eTrust-Iris 7.1.194.0/20050311 found [EICAR_test_file] - eTrust-Vet 11.7.0.0/20050311 found [the EICAR test string] - Fortinet 2.51/20050310 found [EICAR_TEST_FILE] - Ikarus 2.32/20050310 found [EICAR-ANTIVIRUS-TESTFILE] - NOD32v2 1.1023/20050310 found [incorrect CRC checksum] - Panda 8.02.00/20050310 found [Eicar.Mod] - Sybari 7.5.1314/20050311 found [the EICAR test string] Software NO afectado (según VirusTotal al 11/3/05, 20:45 -0200): - AntiVir 6.30.0.5/20050311 found [Eicar-Test-Signature] - AVG 718/20050311 found [EICAR_Test] - BitDefender 7.0/20050311 found [EICAR-Test-File (not a virus)] - ClamAV devel-20050307/20050310 found [Eicar-Test-Signature] - DrWeb 4.32b/20050311 found [EICAR Test File (NOT a Virus!)] - eTrust-Iris 7.1.194.0/20050311 found [EICAR_test_file] - eTrust-Vet 11.7.0.0/20050311 found [the EICAR test string] - Fortinet 2.51/20050311 found [EICAR_TEST_FILE] - Ikarus 2.32/20050311 found [EICAR-ANTIVIRUS-TESTFILE] - NOD32v2 1.1024/20050311 found [incorrect CRC checksum] - Panda 8.02.00/20050311 found [Eicar.Mod] Software afectado (según VirusTotal al 18/3/05, 15:45 -0200): - F-Prot 3.16a/20050317 found nothing - Kaspersky 4.0.2.24/20050318 found nothing - McAfee 4450/20050318 found nothing - Norman 5.70.10/20050317 found nothing - Sybari 7.5.1314/20050318 found nothing - Symantec 8.0/20050317 found nothing Software NO afectado (según VirusTotal al 18/3/05, 15:45 -0200): - AntiVir 6.30.0.7/20050318 found [Eicar-Test-Signature] - AVG 718/20050318 found [EICAR_Test] - BitDefender 7.0/20050318 found [EICAR-Test-File (not a virus)] - ClamAV devel-20050307/20050318 found [Eicar-Test-Signature] - DrWeb 4.32b/20050318 found [EICAR Test File (NOT a Virus!)] - eTrust-Iris 7.1.194.0/20050317 found [EICAR_test_file] - eTrust-Vet 11.7.0.0/20050318 found [the EICAR test string] - Fortinet 2.51/20050317 found [EICAR_TEST_FILE] - Ikarus 2.32/20050318 found [EICAR-ANTIVIRUS-TESTFILE] - NOD32v2 1.1029/20050318 found [incorrect CRC checksum] - Panda 8.02.00/20050318 found [Eicar.Mod] Soluciones Nota VSAntivirus: Algunos fabricantes han solucionado la detección de la prueba de concepto con el transcurso de las horas, como se demuestra en la información anterior. Sin embargo, no se puede asegurar que se trate de una identificación genérica, o solo una puntual de esta prueba en concreto. Créditos: Bipin Gautam Referencias: Identificado en BugTraq como ID 12771 Multiple AV Vendor Incorrect CRC32 Bypass Vulnerability. (Bipin Gautam) http://www.geocities.com/visitbipin/crc.html Multiple Vendor Antivirus Products Malformed ZIP Attachment Scan Evasion Vulnerability http://www.securityfocus.com/bid/12771/ Última actualización: 18/3/05 - 15:48 -0200 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com