Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Antivirus vulnerables al "Filename Bypassing"
 
VSantivirus No. 1911 Año 9, viernes 30 de setiembre de 2005

Antivirus vulnerables al "Filename Bypassing"
http://www.vsantivirus.com/vul-filename-bypassing.htm

Por Angela Ruiz
angela@videosoft.net.uy


Según un reporte de SecuBox Labs., publicado por SecuriTeam.com, algunos programas antivirus no examinan nombres de archivos que contengan caracteres ASCII no imprimibles, y por lo tanto, en lugar de bloquearlos, simplemente los ignoran.

El problema reportado, ocurre porque algunos productos no examinan archivos que contengan caracteres ASCII extendidos, o caracteres menores al caracter de espacio (ASCII 32). Un atacante podría renombrar un archivo malicioso, de tal modo que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto (PoC), que consiste en descargar un archivo que es detectado como virus, y renombrarlo para que no sea detectado. Sin embargo, sugerimos utilizar para ello el "EICAR test file", o "Eicar Archivo de prueba", que en realidad no es un código malicioso, y puede ser utilizado sin peligro alguno para este tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las siguientes direcciones (en todos los casos es el mismo archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una advertencia de virus EICAR cuando descargue el primero de los archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente cualquier opción de monitoreo en tiempo real, o escaneo de archivos durante el acceso (esto varía según el producto). Durante el tiempo de la prueba, no haga clic sobre ningún otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM, donde "?" deberá introducirlo pulsando la tecla ALT, y sin soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del código ASCII correspondiente a cualquier caracter de 0 a 255. El caracter ASCII 1, es un caracter no imprimible. Por ejemplo, si pulsa ALT + 65, logrará que aparezca una "A" mayúscula. Una tabla de caracteres ASCII puede ser consultada en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma normal (cada antivirus provee su mecanismo para examinar un archivo determinado bajo demanda, generalmente basta con pulsar el botón derecho sobre el archivo en cuestión, y seleccionar alguna opción agregada por el antivirus en el menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar Archivo de prueba" o similar, el producto no es afectado por esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de monitoreo en tiempo real, o escaneo de archivos durante el acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna advertencia del antivirus, además de averiguar que su antivirus es vulnerable, todo lo que ocurrirá será la aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no se trata de un virus real (en el artículo "¡Pruebe si realmente su antivirus lo está protegiendo!", http://www.vsantivirus.com/eicar-test.htm, se explica esto detalladamente).


Productos vulnerables:

En el reporte original, se incluye a los siguientes productos como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition
- (NVC) Norman Virus Control
- Twister Anti-TrojanVirus
- SRN Micro Systems Solo Antivirus


Productos inmunes:

De los productos examinados, los siguientes son inmunes a este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no se menciona a NOD32, lo hemos agregado a nuestro reporte ya que este antivirus es inmune a este tipo de engaño. Nótese que tampoco se han publicado los datos de otros antivirus, lo que no significa que los mismos sean vulnerables o no.


Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsntfocus/5TP0M2KGUQ.html


Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm


Créditos:

SecuBox Labs.


Sobre NOD32: Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información: http://www.nod32.com.uy/


[Actualizado 01/10/05 01:17 -0300]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS