Dans le dernier bulletin Certa :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-014/index.html
1 Risque
Contournement de la politique de sécurité ;
contournement du système de filtrage de l'antivirus.
2 Systèmes affectés
La majorité des antivirus du marché ont été recensés comme vulnérables.
Sont concernés :
VirusBlokAda VBA32
Ukrainian Antiviral Center Ukrainian National Antivirus
Symantec Norton Antivirus
Sophos Anti-Virus
Softwin BitDefender
Panda Antivirus
Panda ActiveScan
Norman Virus Control
McAfee VirusScan
Kaspersky Labs (tous produits)
Ikarus
Hacksoft TheHacker
H+BEDV AntiVir
Fortinet Antivirus
F-Secure Anti-Virus
Eset Software NOD32 Antivirus
Dr.Web
Computer Associates Vet Antivirus
Computer Associates eTrust EZ Antivirus
Clam Anti-Virus ClamAV
Cat Computer Services Quick Heal Antivirus
AVG AVG Anti-Virus
Avast! Antivirus
ArcaBit ArcaVir
Pour obtenir la liste détaillée des versions vulnérables, se reporter au
bulletin de Security Focus (cf. Documentation).
3 Résumé
Une vulnérabilité dans le traitement des archives affecte la
quasi-totalité des antivirus du marché. Ainsi, les antivirus ne peuvent
repérer un virus inséré dans une archive malicieusement construite.
4 Description
La plupart des antivirus du marché sont vulnérables à un contournement
de politique de sécurité.
En effet, il est possible grâce à un fichier archive malicieusement
construit, de passer outre le système de filtrage de l'antivirus. Ainsi,
un virus contenu dans ce fichier archive sera acheminé vers son
destinataire sans traitement préalable par une passerelle antivirus.
Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans
l'archive doit être extrait puis exécuté par l'utilisateur pour
corrompre la machine.
5 Contournement provisoire
Tant que le virus n'est pas extrait de l'archive sur le poste client
cible, aucun code malveillant n'est exécuté. Il convient donc de
respecter les règles de comportement élémentaires d'utilisation de la
messagerie, rappelés ci-dessous :
mettre à jour son antivirus ;
ne pas ouvrir les mails à caractère douteux ;
ne jamais ouvrir les fichiers archives en cas de doute sur leur
provenance ;
vérifier systématiquement le contenu extrait des archives ;
Dans le cadre de la défense en profondeur, privilégier systématiquement
l'emploi d'un antivirus sur la passerelle de messagerie associé à un
antivirus différent sur les postes de travail.
Salut, C'est la faille dont j'ai parlé il y a quelques jours : http://shadock.net/secubox/AVCraftedArchive.html A+ Olivier Aichelbaum
Bonjour,
Je ne sais pas si le site est géré par vos soins mais les liens amis, travaux et home ne fonctionnent pas :-(
Merci
Eric
Faute de frappe
Eric Grambier wrote:
Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la machine.
Une fois arrivé sur le poste utilisateur, le fichier virus contenu
dans l'archive doit être extrait puis exécuté par l'utilisateur pour
corrompre la machine.
Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la machine.
Une archive est une collection de fichiers stockée dans un fichier unique. Il existe différents types d'archive. Le principe reste le même : Vous stockez plusieurs fichiers dans un seul fichier archive. La différence est que les fichiers sont compressés. Différents algorithmes de compression sont utilisés pour créer différents types d'archive. Vous pouvez reconnaître les différents types d'archive par l'extension du nom de fichier (les lettres après le dernier point).
Le stockage de fichiers dans des archives a plusieurs avantages :
Si vous possédez des fichiers que vous utilisez rarement, vous pouvez gagner beaucoup de place sur votre disque dur en les compressant dans une archive. Une maintenance des fichiers aisée : il est plus facile de traiter un fichier unique plutôt que plusieurs centaines de petits fichiers. Un transfert de fichiers via Internet plus rapide. Envoyez les fichiers plus rapidement, surtout si vous, ou votre destinataire, payez pour être en ligne lors de l'envoi ou de la réception des fichiers.
Les principaux fichiers archives ont ces types d'extensions :
Une archive est une collection de fichiers stockée dans un fichier unique.
Il existe différents types d'archive. Le principe reste le même : Vous
stockez plusieurs fichiers dans un seul fichier archive. La différence est
que les fichiers sont compressés. Différents algorithmes de compression sont
utilisés pour créer différents types d'archive. Vous pouvez reconnaître les
différents types d'archive par l'extension du nom de fichier (les lettres
après le dernier point).
Le stockage de fichiers dans des archives a plusieurs avantages :
Si vous possédez des fichiers que vous utilisez rarement, vous pouvez gagner
beaucoup de place sur votre disque dur en les compressant dans une archive.
Une maintenance des fichiers aisée : il est plus facile de traiter un
fichier unique plutôt que plusieurs centaines de petits fichiers.
Un transfert de fichiers via Internet plus rapide. Envoyez les fichiers plus
rapidement, surtout si vous, ou votre destinataire, payez pour être en ligne
lors de l'envoi ou de la réception des fichiers.
Les principaux fichiers archives ont ces types d'extensions :
Une archive est une collection de fichiers stockée dans un fichier unique. Il existe différents types d'archive. Le principe reste le même : Vous stockez plusieurs fichiers dans un seul fichier archive. La différence est que les fichiers sont compressés. Différents algorithmes de compression sont utilisés pour créer différents types d'archive. Vous pouvez reconnaître les différents types d'archive par l'extension du nom de fichier (les lettres après le dernier point).
Le stockage de fichiers dans des archives a plusieurs avantages :
Si vous possédez des fichiers que vous utilisez rarement, vous pouvez gagner beaucoup de place sur votre disque dur en les compressant dans une archive. Une maintenance des fichiers aisée : il est plus facile de traiter un fichier unique plutôt que plusieurs centaines de petits fichiers. Un transfert de fichiers via Internet plus rapide. Envoyez les fichiers plus rapidement, surtout si vous, ou votre destinataire, payez pour être en ligne lors de l'envoi ou de la réception des fichiers.
Les principaux fichiers archives ont ces types d'extensions :
mais il reste encore le bon sens de l'utilisateur car:
"Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la machine".
mais il reste encore le bon sens de l'utilisateur car:
"Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans
l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la
machine".
mais il reste encore le bon sens de l'utilisateur car:
"Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la machine".
MELMOTH
Ce cher mammifère du nom de Faute de frappe nous susurrait, le mercredi 12/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <434ce3c2$0$27438$, les doux mélismes suivants :
Question bête : c'est quoi "une archive" ?
Un ou plusieus fichiers _compressés_, et qui prennent donc moins de place sur le disque dur... Certains fichiers peuvent être fortement compressés (fichiers "texte" par exemple), d'autre quasiment pas, car ils le sont déjà au départ : fichiers "exe", images etc...)...
Il existe différents types d'utilitaires de compression/décompression... Le plus connu est "zip"... Mais il existe aussi les algotythmes de compression "rar", "ace", "cab" etc...Qui nécessitent les utilitaires correspondants (winzip, wianace, winrar etc...ou des utilitaires décompressant quasiment tous les modes de compression)...Certains sont gratuits, d'autres payants...
Autant en ce qui concerne les AV, il vaut mieux utiliser un logiciel payant (c'est mon avis, et je le partage), autant les compresseurs/décomprsseurs gratuits sont eux aussi d'excellents outils...
Tous les antivirus ne sont pas capables de détecter des signatures virales "enfermées" dans des fichiers compressés...KAV (et d'autres), lui, sait le faire... Mais on peut le configurer évidemment pour qu'il ne scanne pas les archives compressées...
Melmoth - àvouslestudios
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Ce cher mammifère du nom de Faute de frappe nous susurrait, le mercredi
12/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand
même, et dans le message <434ce3c2$0$27438$8fcfb975@news.wanadoo.fr>,
les doux mélismes suivants :
Question bête : c'est quoi "une archive" ?
Un ou plusieus fichiers _compressés_, et qui prennent donc moins de
place sur le disque dur...
Certains fichiers peuvent être fortement compressés (fichiers "texte"
par exemple), d'autre quasiment pas, car ils le sont déjà au départ :
fichiers "exe", images etc...)...
Il existe différents types d'utilitaires de
compression/décompression...
Le plus connu est "zip"...
Mais il existe aussi les algotythmes de compression "rar", "ace", "cab"
etc...Qui nécessitent les utilitaires correspondants (winzip, wianace,
winrar etc...ou des utilitaires décompressant quasiment tous les modes
de compression)...Certains sont gratuits, d'autres payants...
Autant en ce qui concerne les AV, il vaut mieux utiliser un logiciel
payant (c'est mon avis, et je le partage), autant les
compresseurs/décomprsseurs gratuits sont eux aussi d'excellents
outils...
Tous les antivirus ne sont pas capables de détecter des signatures
virales "enfermées" dans des fichiers compressés...KAV (et d'autres),
lui, sait le faire...
Mais on peut le configurer évidemment pour qu'il ne scanne pas les
archives compressées...
Melmoth - àvouslestudios
--
Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui
accroît sa science, accroît sa douleur.
[Ecclésiaste, 1]
Melmoth - souffrant
Ce cher mammifère du nom de Faute de frappe nous susurrait, le mercredi 12/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <434ce3c2$0$27438$, les doux mélismes suivants :
Question bête : c'est quoi "une archive" ?
Un ou plusieus fichiers _compressés_, et qui prennent donc moins de place sur le disque dur... Certains fichiers peuvent être fortement compressés (fichiers "texte" par exemple), d'autre quasiment pas, car ils le sont déjà au départ : fichiers "exe", images etc...)...
Il existe différents types d'utilitaires de compression/décompression... Le plus connu est "zip"... Mais il existe aussi les algotythmes de compression "rar", "ace", "cab" etc...Qui nécessitent les utilitaires correspondants (winzip, wianace, winrar etc...ou des utilitaires décompressant quasiment tous les modes de compression)...Certains sont gratuits, d'autres payants...
Autant en ce qui concerne les AV, il vaut mieux utiliser un logiciel payant (c'est mon avis, et je le partage), autant les compresseurs/décomprsseurs gratuits sont eux aussi d'excellents outils...
Tous les antivirus ne sont pas capables de détecter des signatures virales "enfermées" dans des fichiers compressés...KAV (et d'autres), lui, sait le faire... Mais on peut le configurer évidemment pour qu'il ne scanne pas les archives compressées...
Melmoth - àvouslestudios
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Guillermito
In article , says...
Juste parce que j'ai une minute à perdre, je vais pinailler :)
Un ou plusieus fichiers _compressés_,
En fait, une archive ne contient pas forcément des fichiers compressés. C'est, disons, une méthode pour assembler plusieurs fichiers, parfois des centaines, dans un seul, ce qui facilite les manipulations du genre transfert, backup, FTP. Mais dans les faits, aujourd'hui on ajoute une couche de compression dans presque tous les cas.
Certains fichiers peuvent être fortement compressés (fichiers "texte" par exemple), d'autre quasiment pas, car ils le sont déjà au départ : fichiers "exe", images etc...)...
Les .exe ne sont pas compressés par défaut, et la plupart, directement sortis du compilateur, ont une entropie faiblarde et peuvent se compresser beaucoup plus. C'est dû principalement au fait que les exe PE par exemple, contiennent de vastes zones de données peu variables ou répétées en plus du code, par exemple des immenses plages de zéros pour atteindre des tailles multiples de puissances de 2, des icones, des bitmaps, etc. Le code lui-même peut se compresser nettement s'il sort d'un compilateur qui n'optimise pas beaucoup ou qui produit plein de redondances.
Quant aux images, ça dépend des formats. Certains sont compressés par défaut (c'est même leur raison d'être, comme les jpeg), d'autres non (la majorité des bmp).
autant les compresseurs/décompresseurs gratuits sont eux aussi d'excellents outils...
Je conseille 7zip, open source en GPL, amélioré en permanence et vraiment très bon, qui gère toutes les archives les plus courantes, et qui a en plus son propre format de compression très performant : http://www.7-zip.org/
Fin du pinaillage, je retourne dans mon trou :)
-- Guillermito http://www.guillermito2.net
In article <mn.8bdd7d5a53c6d1f6.12355@free.fr>, theomonk@free.fr says...
Juste parce que j'ai une minute à perdre, je vais pinailler :)
Un ou plusieus fichiers _compressés_,
En fait, une archive ne contient pas forcément des fichiers compressés. C'est,
disons, une méthode pour assembler plusieurs fichiers, parfois des centaines,
dans un seul, ce qui facilite les manipulations du genre transfert, backup, FTP.
Mais dans les faits, aujourd'hui on ajoute une couche de compression dans
presque tous les cas.
Certains fichiers peuvent être fortement compressés (fichiers "texte"
par exemple), d'autre quasiment pas, car ils le sont déjà au départ :
fichiers "exe", images etc...)...
Les .exe ne sont pas compressés par défaut, et la plupart, directement sortis du
compilateur, ont une entropie faiblarde et peuvent se compresser beaucoup plus.
C'est dû principalement au fait que les exe PE par exemple, contiennent de
vastes zones de données peu variables ou répétées en plus du code, par exemple
des immenses plages de zéros pour atteindre des tailles multiples de puissances
de 2, des icones, des bitmaps, etc. Le code lui-même peut se compresser
nettement s'il sort d'un compilateur qui n'optimise pas beaucoup ou qui produit
plein de redondances.
Quant aux images, ça dépend des formats. Certains sont compressés par défaut
(c'est même leur raison d'être, comme les jpeg), d'autres non (la majorité des
bmp).
autant les
compresseurs/décompresseurs gratuits sont eux aussi d'excellents
outils...
Je conseille 7zip, open source en GPL, amélioré en permanence et vraiment très
bon, qui gère toutes les archives les plus courantes, et qui a en plus son
propre format de compression très performant : http://www.7-zip.org/
Juste parce que j'ai une minute à perdre, je vais pinailler :)
Un ou plusieus fichiers _compressés_,
En fait, une archive ne contient pas forcément des fichiers compressés. C'est, disons, une méthode pour assembler plusieurs fichiers, parfois des centaines, dans un seul, ce qui facilite les manipulations du genre transfert, backup, FTP. Mais dans les faits, aujourd'hui on ajoute une couche de compression dans presque tous les cas.
Certains fichiers peuvent être fortement compressés (fichiers "texte" par exemple), d'autre quasiment pas, car ils le sont déjà au départ : fichiers "exe", images etc...)...
Les .exe ne sont pas compressés par défaut, et la plupart, directement sortis du compilateur, ont une entropie faiblarde et peuvent se compresser beaucoup plus. C'est dû principalement au fait que les exe PE par exemple, contiennent de vastes zones de données peu variables ou répétées en plus du code, par exemple des immenses plages de zéros pour atteindre des tailles multiples de puissances de 2, des icones, des bitmaps, etc. Le code lui-même peut se compresser nettement s'il sort d'un compilateur qui n'optimise pas beaucoup ou qui produit plein de redondances.
Quant aux images, ça dépend des formats. Certains sont compressés par défaut (c'est même leur raison d'être, comme les jpeg), d'autres non (la majorité des bmp).
autant les compresseurs/décompresseurs gratuits sont eux aussi d'excellents outils...
Je conseille 7zip, open source en GPL, amélioré en permanence et vraiment très bon, qui gère toutes les archives les plus courantes, et qui a en plus son propre format de compression très performant : http://www.7-zip.org/
Fin du pinaillage, je retourne dans mon trou :)
-- Guillermito http://www.guillermito2.net
MELMOTH
Ce cher mammifère du nom de Guillermito nous susurrait, le lundi 17/10/05, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <4353c7aa$0$7338$, les doux mélismes suivants :
Fin du pinaillage, je retourne dans mon trou :)
Cher terroriste de mon coeur,
Je suis bien entendu d'accord avec toutes tes remarques, hein... Je voulais juste faire simple et parer au plus pressé, quoi... [Bien que, je le reconnais, je ne savais pas qu'une archive "zip" pouvait contenir uniquement des fichiers...non compressés ! ]...
Je connais (bien entendu ! ) "7Zip"...Mais on a se habitudes, tu le sais bien...et ça fait des années que j'utilise "winace"® avec un bonheur confinant même parfois à l'extase éjaculatoire...
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Ce cher mammifère du nom de Guillermito nous susurrait, le lundi
17/10/05, dans nos oreilles grandes ouvertes mais un peu sales quand
même, et dans le message <4353c7aa$0$7338$636a55ce@news.free.fr>, les
doux mélismes suivants :
Fin du pinaillage, je retourne dans mon trou :)
Cher terroriste de mon coeur,
Je suis bien entendu d'accord avec toutes tes remarques, hein...
Je voulais juste faire simple et parer au plus pressé, quoi...
[Bien que, je le reconnais, je ne savais pas qu'une archive "zip"
pouvait contenir uniquement des fichiers...non compressés ! ]...
Je connais (bien entendu ! ) "7Zip"...Mais on a se habitudes, tu le
sais bien...et ça fait des années que j'utilise "winace"® avec un
bonheur confinant même parfois à l'extase éjaculatoire...
--
Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui
accroît sa science, accroît sa douleur.
[Ecclésiaste, 1]
Melmoth - souffrant
Ce cher mammifère du nom de Guillermito nous susurrait, le lundi 17/10/05, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <4353c7aa$0$7338$, les doux mélismes suivants :
Fin du pinaillage, je retourne dans mon trou :)
Cher terroriste de mon coeur,
Je suis bien entendu d'accord avec toutes tes remarques, hein... Je voulais juste faire simple et parer au plus pressé, quoi... [Bien que, je le reconnais, je ne savais pas qu'une archive "zip" pouvait contenir uniquement des fichiers...non compressés ! ]...
Je connais (bien entendu ! ) "7Zip"...Mais on a se habitudes, tu le sais bien...et ça fait des années que j'utilise "winace"® avec un bonheur confinant même parfois à l'extase éjaculatoire...
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Nicob
On Mon, 17 Oct 2005 20:41:37 +0100, MELMOTH wrote:
[Bien que, je le reconnais, je ne savais pas qu'une archive "zip" pouvait contenir uniquement des fichiers...non compressés ! ]...
C'est une situation qui se retrouve plus sous Unix que sous Windows. Par exemple, la commande "tar" ne compresse pas les archives qu'elle crée, à moins que cela soit explicitement demandé via les options "z" (algo gzip) ou "j" (algo bz2).
Nicob
On Mon, 17 Oct 2005 20:41:37 +0100, MELMOTH wrote:
[Bien que, je le reconnais, je ne savais pas qu'une archive "zip"
pouvait contenir uniquement des fichiers...non compressés ! ]...
C'est une situation qui se retrouve plus sous Unix que sous Windows. Par
exemple, la commande "tar" ne compresse pas les archives qu'elle crée,
à moins que cela soit explicitement demandé via les options "z" (algo
gzip) ou "j" (algo bz2).
On Mon, 17 Oct 2005 20:41:37 +0100, MELMOTH wrote:
[Bien que, je le reconnais, je ne savais pas qu'une archive "zip" pouvait contenir uniquement des fichiers...non compressés ! ]...
C'est une situation qui se retrouve plus sous Unix que sous Windows. Par exemple, la commande "tar" ne compresse pas les archives qu'elle crée, à moins que cela soit explicitement demandé via les options "z" (algo gzip) ou "j" (algo bz2).
