Antivirus vulnerables al "Filename Bypassing"


Según un reporte de SecuBox Labs., publicado por SecuriTeam.com, algunos programas antivirus no examinan nombres de archivos que contengan caracteres ASCII no imprimibles, y por lo tanto, en lugar de bloquearlos, simplemente los ignoran.





El problema reportado, ocurre porque algunos productos no
examinan archivos que contengan caracteres ASCII extendidos,
o caracteres menores al caracter de espacio (ASCII 32). Un
atacante podría renombrar un archivo malicioso, de tal modo
que el antivirus lo ignore.

En el sitio original, se publica una prueba de concepto
(PoC), que consiste en descargar un archivo que es detectado
como virus, y renombrarlo para que no sea detectado. Sin
embargo, sugerimos utilizar para ello el "EICAR test file", o
"Eicar Archivo de prueba", que en realidad no es un código
malicioso, y puede ser utilizado sin peligro alguno para este
tipo de pruebas (ver "Relacionados").

El EICAR test file puede ser descargado de cualquiera de las
siguientes direcciones (en todos los casos es el mismo
archivo sin comprimir, y dentro de archivos ZIP):

http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip

Si usted tiene un antivirus monitoreando, debería recibir una
advertencia de virus EICAR cuando descargue el primero de los
archivos, al intentar ejecutarlo, o al descomprimirlo.

Una vez descargado, deberá deshabilitar temporalmente
cualquier opción de monitoreo en tiempo real, o escaneo de
archivos durante el acceso (esto varía según el producto).
Durante el tiempo de la prueba, no haga clic sobre ningún
otro archivo, salvo los indicados.

Renombre el archivo descargado, de EICAR.COM, a EICAR?.COM,
donde "?" deberá introducirlo pulsando la tecla ALT, y sin
soltarla, pulsando el número "1" del teclado numérico.

ALT + un número del teclado numérico, genera el valor del
código ASCII correspondiente a cualquier caracter de 0 a 255.
El caracter ASCII 1, es un caracter no imprimible. Por
ejemplo, si pulsa ALT + 65, logrará que aparezca una "A"
mayúscula. Una tabla de caracteres ASCII puede ser consultada
en el siguiente enlace: http://www.lookuptables.com

Una vez renombrado, intente examinar el archivo de forma
normal (cada antivirus provee su mecanismo para examinar un
archivo determinado bajo demanda, generalmente basta con
pulsar el botón derecho sobre el archivo en cuestión, y
seleccionar alguna opción agregada por el antivirus en el
menú contextual para este tipo de examen).

Si el antivirus lo detecta como "EICAR-AV-Test", "Eicar
Archivo de prueba" o similar, el producto no es afectado por
esta vulnerabilidad.

Luego de ello, reactive en su antivirus la opción de
monitoreo en tiempo real, o escaneo de archivos durante el
acceso, y haga doble clic sobre el archivo EICAR?.COM.

Si el antivirus impide esta acción, bloqueando el archivo y
mostrando una referencia a "EICAR-AV-Test", "Eicar Archivo de
prueba", etc., su antivirus es inmune a este problema.

Si por el contrario el EICAR?.COM se ejecuta sin ninguna
advertencia del antivirus, además de averiguar que su
antivirus es vulnerable, todo lo que ocurrirá será la
aparición de una ventana DOS con este único texto:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Recuerde que no hay peligro de daño alguno, debido a que no
se trata de un virus real (en el artículo "¡Pruebe si
realmente su antivirus lo está protegiendo!",
http://www.vsantivirus.com/eicar-test.htm, se explica esto
detalladamente).


* Productos vulnerables:

En el reporte original, se incluye a los siguientes productos
como vulnerables:

- BitDefender Antivirus
- Trustix Antivirus
- Avast! Antivirus
- Cat Quick Heal Antivirus
- Abacre Antivirus
- VisNetic Antivirus (solo en escaneo manual)
- AntiVir Personnal Edition Antivirus
- Clamav for Windows Antivirus
- Antiy Ghostbusters Professional Edition


* Productos inmunes:

De los productos examinados, los siguientes son inmunes a
este problema:

- Kaspersky Antivirus
- AVG Free
- NOD32

NOTA VSA: Aún cuando en la alerta publicada originalmente no
se menciona a NOD32, lo hemos agregado a nuestro reporte ya
que este antivirus es inmune a este tipo de engaño. Nótese
que tampoco se han publicado los datos de otros antivirus, lo
que no significa que los mismos sean vulnerables o no.


* Referencias:

AntiVirus Filename Bypassing
http://www.securiteam.com/windowsntfocus/5TP0M2KGUQ.html


* Relacionados:

¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm


* Créditos:

SecuBox Labs.

Fuente:
Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

PODER DE INTERNET EXPLORER SIGUEN DESCUBRIENDOSE BUGS PENDIENTES DE SOLUCIONAR
El bug que teóricamente había sido corregido por Microsoft en uno de sus parches para Internet Explorer, puede seguir siendo explotado en las últimas versiones del popular navegador web. El bug consiste en un supuesto fallo al interpretar archivos...
Varios sitios webs caen víctimas de una nueva oleada de ataques
Piratas infromáticos han lanzado una campaña masiva de ataques Web, poniendo links maliciosos sobre miles de servidores, según ha advertido Kaspersky....
Parchea provisional de Microsoft por #Duqu
Microsoft ha lanzado un parche temporal para mantener a raya la vulnerabilidad crítica de Windows que está siendo explotada por el troyano Duqu....
IE 10 contará con Do Not Track activado por defecto
La gigante informática de la ciudad de Redmond ha anunciado que la próxima versión de su popular navegador por internet, Internet Explorer 10, contará con una gran novedad que todos los usuarios agradecerán, en especial aquellos que les preocupa...
Macros peligrosas en OpenOffice
Por cuestiones de trabajo, últimamente he estado analizando algunos virus de macro. En los típicos ejemplos siempre se enumeran características de los principales coladeros: Microsoft Word y Microsoft Excel. Sin embargo, como usuario de una suite ...
Jorge Castellanos - Linux es bueno pero complicado
Jorge Castellanos dice con orgullo ser uno de los primeros amantes del software libre en Venezuela. Como educador ha alcanzado una posición de respeto entre sus alumnos del Departamento de Computación de la Facultad de Ciencia y Tecnología de la U...
Certificaciones de productos, ¿garantía de seguridad o marketing?
La reciente certificación Common Criteria otorgada a Windows 2000 desata la polémica sobre cual es el alcance real de estos galardones sobre la seguridad final de los usuarios. Las certificaciones, básicamente, son un procedimiento por el cual u...
Cursos Intensivos de PHP en Valencia, Venezuela
Desde el 31 de Enero y en los siguientes fines de semana, se estarán realizando en la ciudad de Valencia, Venezuela, una serie de cursos intensivos de PHP. Organizado y Patrocinado por AWVEN, C.A., Instituto “Charles Worth” y PHP...
Usuarios prefieren la seguridad de los escáneres de huellas dactilares
Los escáneres de huella dactilar son uno de los sistemas de identificación en los que más confían los usuarios. A esta conclusión ha llegado Unisys, pues más de dos tercios de los consumidores encuestados en todo el mundo por la compañía afir...
Investigador hindú rompe el sistema de protección Windows Genuine Advantage
Debasis Mohanty, un investigador de origen hindú ha conseguido romper el sistema de protección WGA (Windows Genuine Advantage) de Microsoft. Para ello se ha valido de una herramienta denominada genuinecheck.Exe desarrollada por él mismo....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • bypassing
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • filename
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • quot
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • vulnerables
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra