Vulnerabilidad “Magic Byte” en múltiples antivirus

Múltiples productos antivirus, son propensos a una vulnerabilidad capaz de hacer que ciertos archivos no sean detectados.

El problema se presenta por la manera en que algunos antivirus determinan el tipo de archivo a examinar.

Si alguno de estos tipos de archivos (fueron probados archivos .BAT, .HTML y .EML), se modifica para que tengan al comienzo el “magic byte” que identifica a los archivos .EXE (los caracteres MZ), los productos vulnerables son incapaces de detectar código malicioso. Esto “rompe” el flujo normal de la operación de escaneo del antivirus, con el riesgo de que algunos virus pudieran no ser detectados.

Un atacante puede explotar esta vulnerabilidad para introducir archivos maliciosos sin que el antivirus lo examine. Esto se traduce en una falsa sensación de seguridad, y el riesgo de ejecución de código malicioso en la máquina de la víctima.

Software vulnerable:

- Ukranian National Antivirus UNA
- Trend Micro PC-cillin 2005
- Trend Micro OfficeScan Corporate Edition 7.0
- Sophos Anti-Virus 3.91
- Panda Titanium
- Norman Virus Control 5.81
- McAfee Internet Security Suite 7.1.5
- Kaspersky Labs Anti-Virus 5.0.372
- Ikarus 2.32
- F-Prot Antivirus 3.16 c
- eTrust CA 7.0.14
- Dr.Web 4.32 b
- AVG Anti-Virus 7.0.323
- ArcaBit 2005.0

Software NO vulnerable

- VirusBlokAda VBA32
- Symantec Norton Internet Security 2005 11.5.6.14
- Symantec AntiVirus Corporate Edition 10.0
- Sophos Anti-Virus 5.0.2
- Sophos Anti-Virus 3.95
- Softwin BitDefender 8.0
- NOD32 2.50.25
- H+BEDV AntiVir Personal 6.31.00.01
- F-Secure Anti-Virus 5.56
- ClamWin 0.86.1
- Avast! Antivirus Home Edition 4.6.655

Más información:

[Full-disclosure] Multiple Vendor Anti-Virus
Software Detection Evasion Vulnerability through forged magic byte
http://archives.neohapsis.com/archives/fulldisclosure/2005-10/0504.html

Multiple Vendor Anti-Virus Magic Byte Detection Evasion Vulnerability
http://www.securityfocus.com/bid/15189/info