Manipulierte Archive passieren Virenscanner
Zahlreiche Virenscanner verarbeiten manipulierte Archive nicht korrekt, sodass ihnen unter Umständen Viren durchschlüpfen könnten.
SecuBox Labs haben entdeckt, dass zahlreiche Virenscanner manipulierte Archive nicht korrekt verarbeiten, sodass ihnen unter Umständen Viren durchschlüpfen könnten. Die Virenscanner ließen sich überlisten, indem die Header der Archive so verändert wurden, dass sie denen von ausführbaren Dateien glichen. Daraufhin setzten die Virenscanner ihre Entpackroutinen nicht mehr auf die Datei an, die üblichen Packprogramme können diese Archive aber anstandslos öffnen.
Auch das Einfügen eines Null-Bytes in den Header -- was üblicherweise das Ende einer Zeichenkette markiert -- hatte in den Tests von SecuBox Labs bei vielen Virenscannern diesen verschleiernden Effekt. Null-Bytes stellen Virenscanner öfter vor Probleme -- siehe auch den Artikel Null Problemo auf heise Security.
Anwender sollten sich nicht ausschließlich auf die Virenfilter ihres Providers verlassen. Wer seinen Rechner vor einem solchen Angriff schützen möchte, sollte auf jeden Fall einen Virenscanner mit Hintergrundwächter einsetzen und die Signaturen häufig aktualisieren. Viele Antivirenhersteller haben diese Lücke inzwischen beseitigt und stellen neue Programmversionen bereit. Diese sollten zügig eingespielt werden.
Siehe dazu auch: (dmk)
- Security Advisory von SecuBox Labs
