Test auf Viren in ZIP-Dateien
Mit dem c't-Emailcheck lässt sich testen, ob ein Viren-Scanner Viren auch in manipulierten ZIP-Archiven entdeckt.
Der c't-Emailcheck bietet Ihnen die Möglichkeit zu testen, ob Ihr Viren-Scanner Viren auch in manipulierten ZIP-Archiven entdeckt. Wie heise Security heute morgen gemeldet hat, veröffentlichte iDefense ein Advisory, demzufolge eine Reihe von Antiviren-Produkten Viren nicht mehr entdecken, wenn die (scheinbare) Größe der unkomprimierten Dateien auf 0 Byte gesetzt wird -- obwohl sich die Dateien immer noch auspacken lassen.
Diese Verwaltungsinformationen sind an zwei Stellen aufgeführt. Zum einen befindet sich am Ende des Archivs ein globales Verzeichnis aller enthaltenen Dateien. Setzt man die Länge hier auf 0, lässt sich die Datei mit allen ZIP-Tools -- auch denen von Windows XP -- extrahieren. Allerdings fanden in Tests von heise Security auch die meisten Virenscanner Schädlinge trotzdem. Anders sieht es aus, wenn man den lokalen Eintrag ändert, der direkt vor den eigentlichen Daten steht. Hier schlampen tatsächlich viele Virenscanner. Allerdings konnten in den heisec-Tests -- anders als von iDefense behauptet -- die XP-ZIP-Tools die Datei auch nicht mehr auspacken. WinZIP oder WinRAR hingegen entpackten auch diese Archive problemlos.
Der c't-Emailcheck erklärt die Risiken von E-Mail. Konkrete Demonstrationen führen mit harmlosen Test-Mails Schwachstellen von E-Mail-Programmen und Antiviren-Software vor. Die neuen Tests versenden manipulierte ZIP-Dateien, die keinen Schaden anrichten können, die der Viren-Scanner jedoch als Virus erkennen sollte.
Siehe dazu auch: (ju)
- Viren-Dummies des c't-Emailchecks von heise Security
