19/10/2004 Salto de análisis de archivos comprimidos en múltiples antivirus

http://www.hispasec.com/unaaldia/2187
Se ha anunciado la existencia de un problema en el tratamiento de
archivos zip en los motores antivirus de McAfee, Computer Associates,
Kaspersky, Sophos, Eset y RAV por la que un usuario malicioso podría
construir un archivo comprimido con virus de forma que evite ser
analizado. No se han mostrado vulnerables las últimas versiones de
BitDefender, Panda, Symantec y Trendmicro.

Concretamente el problema reside en el tratamiento de las cabeceras de
los archivos .zip. Un archivo .zip almacena la información sobre los
archivos comprimidos en dos lugares, una cabecera local y otra global.
La cabecera local se localiza al comienzo de los datos comprimidos de
cada uno de los archivos mientras que la cabecera global se sitúa al
final del archivo .zip.

Sin embargo es posible modificar el tamaño descomprimido de los
archivos almacenados en ambas cabeceras sin que esto llegue a afectar
a
su funcionalidad. Un atacante podrá comprimir un archivo con código
malicioso y evitar la capacidad de detección de algunos antivirus
modificando la información del tamaño descomprimido en ambas cabeceras
a cero. Este problema ha sido confirmado tanto por WinZip y Microsoft
Compressed Folders.

McAfee en la actualización de su motor, con el DAT 4320 ha mejorado la
protección de los archivos comprimidos y evita este problema. En caso
de encontrar un archivo comprimido de estas características se muestra
el mensaje "Found the Exploit-Zip Trojan!".

Kaspersky ha comunicado que en la próxima actualización acumulativa de
sus motores 3.x-4.x se corregirá el problema. Para los antivirus de la
versión 5.0 recomiendan esperar al siguiente paquete de mantenimiento
que se publicará este mes.

Eset actualizó los motores en el módulo versión 1.020 publicado el
pasado 16 de septiembre 2004.

Computer Associates de igual forma ha corregido el problema en una
serie de actualizaciones del motor de descompresión Arclib.dll. La
información sobre estas actualizaciones se encuentra disponible en:
http://supportconnectw.ca.com/publi...b_vuln.asp

Sophos ha mejorado su motor de análisis para tratar con los archivos
zip mal construidos. La versión 3.87.0 de Sophos Anti-Virus para todos
los sistemas operativos excepto para Windows 95/98/Me incluye esta
corrección los usuarios tendrán la actualización automática a esta
versión a través de EM Library de 20 de octubre de 2004 o bien estará
disponible para descarga desde el próximo día 22. Sophos Anti-Virus
para Windows 95/98/Me será actualizado en la versión 3.88.0
(disponible
el 24 de noviembre de 2004).
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2187/comentar

Más Información:

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
http://www.idefense.com/application/poi/display?id3&type=vulnerabilit&flashstatus=true

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
http://www.securiteam.com/securityn...2ABFY.html
Antonio Ropero