p30r

Suman Jana y Vitaly Shmatikov, han creado el documento "Abusing File
Processing in Malware Detectors for Fun and Profit" que presentan en el
IEEE Symposium on Security & Privacy de este año en San Francisco. En
resumen, han descubierto 45 "vulnerabilidades" (métodos para eludir
motores) que afectan a un total de 38 antivirus. La mayoría relacionadas
con el tratamiento de ciertos tipos de ficheros, que pueden permitir que
el malware pase desapercibido por el motor y no sea detectado.

Las vulnerabilidades encontradas están relacionadas con los intérpretes
de las distintas extensiones de ficheros. Así, han encontrado diferentes
formas de manipular los formatos de ficheros para permitir que pasen
desapercibidos para los motores.

* TAR: Con el número más alto de métodos encontrados, 13 en total, los
intérpretes puede ser explotados de diferentes formas, modificando sus
caracteres iniciales o ciertos campos del formato. 34 motores antivirus
se ven afectados por este fallo.

* ELF: Se han encontrado un total de 12 métodos en este formato que
pueden ser aprovechados modificando ciertos campos o añadiendo algunos
caracteres. Este error afecta a 14 motores antivirus diferentes.

* EXE: Con un total de 6 métodos que pueden ser aprovechados igualmente
añadiendo caracteres en ciertas posiciones o manipulando algunos campos
del estándar. Cinco motores se ven afectados por este fallo.

* Ficheros Microsoft Office: Dos métodos pueden ser explotados a través
de un fichero especialmente manipulado que contenga la secuencia de
caracteres especiales. Afecta a los antivirus Comodo y Sophos.

* RAR: Este único (método de evasión (cambiar sus dos primeros bytes por
MZ) en el formato permite eludir a la mayoría de los motores conocidos
(35).

* CAB: Se han descubierto 7 métodos que pueden afectar a 14 motores
antivirus.

* CHM: Un único método que permite eludir las detecciones de ClamAV y
Sophos. Puede ser explotado a través de la manipulación de la cabecera.

* Gzip y ZIP: Se han encontrado tres métodos en el intérprete de este
tipo de ficheros que puede afectar a un total de 20 motores antivirus.

El número de vulnerabilidades asignadas a cada antivirus, ordenadas de
mayor a menor, son:
  eSafe: 22
  QuickHeal: 20
  Rising Antivirus: 20
  Emsisoft: 19
  Ikarus Virus Utilities T3 Command Line Scanner: 19
  Panda Antivirus: 19
  Norman Antivirus: 18
  Fortinet Antivirus: 17
  Sophos Anti-Virus: 16
  McAfee Gateway: 13
  Kaspersky Anti-Virus: 11
  McAfee Anti-Virus Scanning Engine: 11
  NOD32 Antivirus: 11
  F-Prot: 10
  Command Antivirus: 10
  AVEngine: 9
  Antiy Labs AVL: 9
  Jiangmin Antivirus: 9
  AhnLab: 8
  BitDefender: 8
  Comodo: 8
  F-Secure: 8
  Trend Micro: 8
  K7 Antivirus: 7
  PC Tools AntiVirus: 7
  AVG: 6
  Clamav: 5
  ClamAV: 5
  Microsoft Security Essentials: 5
  nProtect Anti-Virus: 5
  VBA32: 5
  Avira AntiVir: 4
  VirusBuster: 4
  Avast: 3
  Dr.Web: 3
  eTrust Vet Antivirus: 3
  G Data AntiVirus: 3
  Prevx: 2

A todos estos errores se les ha asignado los CVE consecutivos que van
desde CVE-2012-1419 hasta CVE-2012-1463.


Fuente: hispasec.com