Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad "Magic Byte" en múltiples antivirus
 
VSantivirus No. 1937 Año 9, miércoles 26 de octubre de 2005

Vulnerabilidad "Magic Byte" en múltiples antivirus
http://www.vsantivirus.com/vul-magicbyte-251005.htm

Por Angela Ruiz
angela@videosoft.net.uy


Múltiples productos antivirus, son propensos a una vulnerabilidad capaz de hacer que ciertos archivos no sean detectados.

El problema se presenta por la manera en que algunos antivirus determinan el tipo de archivo a examinar.

Si alguno de estos tipos de archivos (fueron probados archivos .BAT, .HTML y .EML), se modifica para que tengan al comienzo el "magic byte" que identifica a los archivos .EXE (los caracteres MZ), los productos vulnerables son incapaces de detectar código malicioso. Esto "rompe" el flujo normal de la operación de escaneo del antivirus, con el riesgo de que algunos virus pudieran no ser detectados.

Un atacante puede explotar esta vulnerabilidad para introducir archivos maliciosos sin que el antivirus lo examine. Esto se traduce en una falsa sensación de seguridad, y el riesgo de ejecución de código malicioso en la máquina de la víctima.

Al momento de publicarse esta alerta, no se conocen exploits que se aprovechen de esta debilidad.


Software vulnerable:

- Ukranian National Antivirus UNA
- Trend Micro PC-cillin 2005
- Trend Micro OfficeScan Corporate Edition 7.0
- Sophos Anti-Virus 3.91
- Panda Titanium
- Norman Virus Control 5.81
- McAfee Internet Security Suite 7.1.5
- Kaspersky Labs Anti-Virus 5.0.372
- Ikarus 2.32
- F-Prot Antivirus 3.16 c
- eTrust CA 7.0.14
- Dr.Web 4.32 b
- AVG Anti-Virus 7.0.323
- ArcaBit 2005.0


Software NO vulnerable

- VirusBlokAda VBA32
- Symantec Norton Internet Security 2005 11.5.6.14
- Symantec AntiVirus Corporate Edition 10.0
- Sophos Anti-Virus 5.0.2
- Sophos Anti-Virus 3.95
- Softwin BitDefender 8.0
- NOD32 2.50.25
- H+BEDV AntiVir Personal 6.31.00.01
- F-Secure Anti-Virus 5.56
- ClamWin 0.86.1
- Avast! Antivirus Home Edition 4.6.655


Más información:

[Full-disclosure] Multiple Vendor Anti-Virus
Software Detection Evasion Vulnerability through forged magic byte
http://archives.neohapsis.com/archives/fulldisclosure/2005-10/0504.html

Multiple Vendor Anti-Virus Magic Byte Detection Evasion Vulnerability
http://www.securityfocus.com/bid/15189/info


Créditos:

Wayne Langlois y Andrey Bayora






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS