Salto de análisis de archivos comprimidos en múltiples antivirus
Hispasec analiza una vulnerabilidad que permite filtrar virus sin que sean detectados por los principales productos de protección.
Se ha anunciado la existencia de un problema en el tratamiento de archivos zip en los motores antivirus de McAfee, Computer Associates, Kaspersky, Sophos, Eset y RAV. por la que un usuario malicioso podría construir un archivo comprimido con virus de forma que evite ser analizado. No se han mostrado vulnerables las últimas versiones de BitDefender, Panda, Symantec y Trendmicro.
Concretamente el problema reside en el tratamiento de las cabeceras de los archivos .zip. Un archivo .zip almacena la información sobre los archivos comprimidos en dos lugares, una cabecera local y otra global. La cabecera local se localiza al comienzo de los datos comprimidos de cada uno de los archivos mientras que la cabecera global se sitúa al final del archivo .zip.
Sin embargo es posible modificar el tamaño descomprimido de los archivos almacenados en ambas cabeceras sin que esto llegue a afectar a su funcionalidad. Un atacante podrá comprimir un archivo con código malicioso y evitar la capacidad de detección de algunos antivirus modificando la información del tamaño descomprimido en ambas cabeceras a cero. Este problema ha sido confirmado tanto por WinZip y Microsoft Compressed Folders.
McAfee en la actualización de su motor, con el DAT 4320 ha mejorado la protección de los archivos comprimidos y evita este problema. En caso de encontrar un archivo comprimido de estas características se muestra el mensaje “Found the Exploit-Zip Trojan!”.
Kaspersky ha comunicado que en la próxima actualización acumulativa de sus motores 3.x-4.x se corregirá el problema. Para los antivirus de la versión 5.0 recomiendan esperar al siguiente paquete de mantenimiento que se publicará este mes.
Eset actualizó los motores en el módulo versión 1.020 publicado el pasado 16 de septiembre 2004.
Computer Associates de igual forma ha corregido el problema en una serie de actualizaciones del motor de descompresión Arclib.dll. La información sobre estas actualizaciones se encuentra disponible en: http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp
Sophos ha mejorado su motor de análisis para tratar con los archivos zip mal construidos. La versión 3.87.0 de Sophos Anti-Virus para todos los sistemas operativos excepto para Windows 95/98/Me incluye esta corrección los usuarios tendrán la actualización automática a esta versión a través de EM Library de 20 de octubre de 2004 o bien estará disponible para descarga desde el próximo día 22. Sophos Anti-Virus para Windows 95/98/Me será actualizado en la versión 3.88.0 (disponible el 24 de noviembre de 2004).