[eside-ghost] vulnerabilidad en antivirus

[txipi]

Aupa!

On Wed, 26 Oct 2005 23:58:53 +0200
aktor <aktor en aktornet.ath.cx> wrote:

> Están comprometidos la mayor parte de los antivirus. Pero lo que más
> me sorprende es que ese proyecto de software libre llamando clamav o
> clamwin, no sea vulnerable :-O. Si son unos hippies los que lo hacen,
> no? XDDDDD
> Ahora en serio... si alguien que controle un poco más (¿sheroc, topo,
> txipi?) de virii podría dar una explicación un poco menos demagogica
> al porque de esto se lo agradecería ;-)

Al parecer el truco se basa en engañar al scanner para que trate el
fichero como si fuera un EXE, añadiendo la cabecera MZ y todo el tema y
que luego realmente sea un BAT o lo que sea. Es decir, entras a
urgencias haciéndote pasar por un caso de urología grave y resulta
que al final es que tienes engangrenada la pierna. El urólogo, claro,
ve que todo el tema está bien y no entiende por qué estás tan txungo :-D

Aquí lo mismo, todos los antivirus que tengan métodos sofisticadillos
de escaneo, harán análisis pormenorizados en función del tipo de
fichero, y ahí es donde se la cuelan.

El autor de ese fichero ha intentado escribir un poema, un soneto, en
la cabecera de su fichero. Los hackers que lo leen, como en Snowcrash,
quedan inutilizados, pero si no eres un hacker, no pasa nada. Clamav
definitivamente no es un hacker, es tecnología de los 80, pero tiene
estas cosas, que es difícil engañar a un grep con trucos, si está el
patrón, está el patrón, y punto :-D

Clamav tiene exitazo por la comunidad y sus reportes de firmas de
virus, pero tecnológicamente es de mofa. Los de Panda, Mcafee, etc.
tienen que flipar de que un programa así les quite usuarios :-DDDD
(mola! :-D).

-- 
Agur,
  txipi