Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Virenscanner prüfen Dateien in Archiven nicht zuverlässig [2.Update]

Die Linux-Virenscanner von Trend Micro und Sophos erkennen Schädlinge in Dateien mit ungewöhnlichen Namen nicht mehr, wenn diese in ZIP-Archiven enthalten sind.

In Pocket speichern vorlesen Druckansicht 96 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Linux-Virenscanner von Trend Micro (Interscan Viruswall SMB vscan) und Sophos (Sophos SWEEP Virus Detection Utility) erkennen Schädlinge in Dateien mit ungewöhnlichen Namen nicht mehr, wenn diese in ZIP-Archiven enthalten sind. Dies will der Sicherheitsdiensleister AERAsec in seinen Tests festgestellt haben. Seinem Advisory zufolge überspringen die Scanner Dateien beim Entpacken, wenn diese Escape-Zeichen im Namen tragen, wie etwa "Test^G^[[2J^[[2;5m^[[1;31mHACKER ATTACK^[[2;25m^[[22;30m^[[3q.txt"

Im Test überprüfte AERAsec die Produkte mit dem Eicar-Test-String und dem Sober.L-Wurm und gab den Dateien im Archiv sowohl normale Namen als auch solche mit Escape-Sequenzen. Offenbar sind die Entpacker von Trend Micro und Sophos nicht in der Lage letztere zu dekomprimieren. Die ebenfalls untersuchten Scanner von Kaspersky, F-Prot und McAfee mit Webwasher fanden zwar die Schädlinge, schrieben aber die Dateinamen ungefiltert in die Log-Dateien. Bei der Ansicht des Logs können die Escape-Zeichen - je nach Anzeige-Tool - die Ausgabe durcheinander bringen. Unter Umständen lassen sich so auch Ereignisse im Log verschleiern. Im Testfeld filterte nur der Open-Source-Scanner ClamAV die unerwünschten Zeichen aus und fand auch den Schädling. Die betroffenen Hersteller sind über die Probleme informiert und arbeiten an deren Lösung.

Die Verarbeitung von Archiven bereitet den Herstellern von Antivirensoftware des öfteren Probleme. Zuletzt meldeten F-Secure und Symantec Buffer Overflows, die beim Entpacken auftraten. Damit ließ sich sogar Schadcode in das Virengateway einschleusen. Auch ClamAV stürzte in der Vergangenheit des Öfteren bei der Verarbeitung manipulierter Archive ab.

Update:
Sophos weist darauf hin, dass der Scanner bei Verwendung der Kommandozeilenoption "-all" nicht anfällig ist und Viren auch in Dateien mit Sonderzeichen im Namen erkennt.

Die neue Version von Webwasher 5.1.0 build 1606 filtert nach Angaben des Herstellers die Escape-Sequenzen vor dem Schreiben ins Logfile aus.

Siehe dazu auch: (dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten