Dans le dernier bulletin Certa :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-014/index.html
1 Risque
Contournement de la politique de sécurité ;
contournement du système de filtrage de l'antivirus.
2 Systèmes affectés
La majorité des antivirus du marché ont été recensés comme vulnérables.
Sont concernés :
VirusBlokAda VBA32
Ukrainian Antiviral Center Ukrainian National Antivirus
Symantec Norton Antivirus
Sophos Anti-Virus
Softwin BitDefender
Panda Antivirus
Panda ActiveScan
Norman Virus Control
McAfee VirusScan
Kaspersky Labs (tous produits)
Ikarus
Hacksoft TheHacker
H+BEDV AntiVir
Fortinet Antivirus
F-Secure Anti-Virus
Eset Software NOD32 Antivirus
Dr.Web
Computer Associates Vet Antivirus
Computer Associates eTrust EZ Antivirus
Clam Anti-Virus ClamAV
Cat Computer Services Quick Heal Antivirus
AVG AVG Anti-Virus
Avast! Antivirus
ArcaBit ArcaVir
Pour obtenir la liste détaillée des versions vulnérables, se reporter au
bulletin de Security Focus (cf. Documentation).
3 Résumé
Une vulnérabilité dans le traitement des archives affecte la
quasi-totalité des antivirus du marché. Ainsi, les antivirus ne peuvent
repérer un virus inséré dans une archive malicieusement construite.
4 Description
La plupart des antivirus du marché sont vulnérables à un contournement
de politique de sécurité.
En effet, il est possible grâce à un fichier archive malicieusement
construit, de passer outre le système de filtrage de l'antivirus. Ainsi,
un virus contenu dans ce fichier archive sera acheminé vers son
destinataire sans traitement préalable par une passerelle antivirus.
Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans
l'archive doit être extrait puis exécuté par l'utilisateur pour
corrompre la machine.
5 Contournement provisoire
Tant que le virus n'est pas extrait de l'archive sur le poste client
cible, aucun code malveillant n'est exécuté. Il convient donc de
respecter les règles de comportement élémentaires d'utilisation de la
messagerie, rappelés ci-dessous :
mettre à jour son antivirus ;
ne pas ouvrir les mails à caractère douteux ;
ne jamais ouvrir les fichiers archives en cas de doute sur leur
provenance ;
vérifier systématiquement le contenu extrait des archives ;
Dans le cadre de la défense en profondeur, privilégier systématiquement
l'emploi d'un antivirus sur la passerelle de messagerie associé à un
antivirus différent sur les postes de travail.
Je voulais juste faire simple et parer au plus pressé, quoi...
J'ai bien compris mais j'avais cinq minutes. Et là, j'en ai cinq autres.
[Bien que, je le reconnais, je ne savais pas qu'une archive "zip" pouvait contenir uniquement des fichiers...non compressés ! ]...
En fait, et pour revenir dans le sujet du groupe, cette particularité a nettement facilité l'écriture de virus ou de trojans qui "infectaient" les fichiers zip ou autres archives. Programmer une routine qui insère un fichier *non compressé* dans une archive, donc sans passer par un utilitaire, une API de Windows, ou autre machin pré-digéré, est un peu pénible parce que les formats sont étranges (chaque fichier est présent dans trois headers dans les fichiers zip par exemple, de mémoire, au début, au milieu, et à la fin), mais pas très difficile. C'est un simple parser (c'est quoi le mot en français?) de fichier. Par contre, insérer dans la même archive un fichier *compressé* nécessite de programmer soi-même une routine de compression compatible avec l'archive, et là c'est un peu plus délicat. Pas impossible, les algos de compression sont bien documentés, mais disons que ça commence à voler un peu plus haut, surtout en assembleur, avec une taille très faible et une compatibilité forte avec tous les archiveurs.
Bref, tout ça pour dire que la majorité des virus qui s'incrustent eux-mêmes dans les archives utilisent cette méthode : insertion d'un dropper sans compression.
Le plus complet à ce niveau était sans doute Alicia.6554 de Starzer0/IKX, qui pouvait s'insérer dans huit formats d'archives parfois exotiques sur PC : ZIP, ARJ, RAR, ACE, HA, PAK/ARC, LZH/LHA, et ZOO. Ses routines, une fois publiées dans leur mag, ont été reprises dans d'autres virus comme par exemple Win32.Legacy de Billy Belcebu/IKX.
Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1]
"Si tu peux supporter d'entendre tes paroles Travesties par des gueux pour exciter des sots"
[Rudyard Kipling]
-- Guillermito http://www.guillermito2.net
In article <mn.8cd97d5a5d8a9150.12355@free.fr>, theomonk@free.fr says...
Cher terroriste de mon coeur,
Mon gros lapin,
Je voulais juste faire simple et parer au plus pressé, quoi...
J'ai bien compris mais j'avais cinq minutes. Et là, j'en ai cinq autres.
[Bien que, je le reconnais, je ne savais pas qu'une archive "zip"
pouvait contenir uniquement des fichiers...non compressés ! ]...
En fait, et pour revenir dans le sujet du groupe, cette particularité a
nettement facilité l'écriture de virus ou de trojans qui "infectaient"
les fichiers zip ou autres archives. Programmer une routine qui insère un
fichier *non compressé* dans une archive, donc sans passer par un
utilitaire, une API de Windows, ou autre machin pré-digéré, est un peu
pénible parce que les formats sont étranges (chaque fichier est
présent dans trois headers dans les fichiers zip par exemple, de
mémoire, au début, au milieu, et à la fin), mais pas très difficile.
C'est un simple parser (c'est quoi le mot en français?) de fichier. Par
contre, insérer dans la même archive un fichier *compressé* nécessite de
programmer soi-même une routine de compression compatible avec l'archive,
et là c'est un peu plus délicat. Pas impossible, les algos de compression
sont bien documentés, mais disons que ça commence à voler un peu plus
haut, surtout en assembleur, avec une taille très faible et une
compatibilité forte avec tous les archiveurs.
Bref, tout ça pour dire que la majorité des virus qui s'incrustent
eux-mêmes dans les archives utilisent cette méthode : insertion d'un
dropper sans compression.
Le plus complet à ce niveau était sans doute Alicia.6554 de Starzer0/IKX,
qui pouvait s'insérer dans huit formats d'archives parfois exotiques sur
PC : ZIP, ARJ, RAR, ACE, HA, PAK/ARC, LZH/LHA, et ZOO. Ses routines, une
fois publiées dans leur mag, ont été reprises dans d'autres virus comme
par exemple Win32.Legacy de Billy Belcebu/IKX.
Je voulais juste faire simple et parer au plus pressé, quoi...
J'ai bien compris mais j'avais cinq minutes. Et là, j'en ai cinq autres.
[Bien que, je le reconnais, je ne savais pas qu'une archive "zip" pouvait contenir uniquement des fichiers...non compressés ! ]...
En fait, et pour revenir dans le sujet du groupe, cette particularité a nettement facilité l'écriture de virus ou de trojans qui "infectaient" les fichiers zip ou autres archives. Programmer une routine qui insère un fichier *non compressé* dans une archive, donc sans passer par un utilitaire, une API de Windows, ou autre machin pré-digéré, est un peu pénible parce que les formats sont étranges (chaque fichier est présent dans trois headers dans les fichiers zip par exemple, de mémoire, au début, au milieu, et à la fin), mais pas très difficile. C'est un simple parser (c'est quoi le mot en français?) de fichier. Par contre, insérer dans la même archive un fichier *compressé* nécessite de programmer soi-même une routine de compression compatible avec l'archive, et là c'est un peu plus délicat. Pas impossible, les algos de compression sont bien documentés, mais disons que ça commence à voler un peu plus haut, surtout en assembleur, avec une taille très faible et une compatibilité forte avec tous les archiveurs.
Bref, tout ça pour dire que la majorité des virus qui s'incrustent eux-mêmes dans les archives utilisent cette méthode : insertion d'un dropper sans compression.
Le plus complet à ce niveau était sans doute Alicia.6554 de Starzer0/IKX, qui pouvait s'insérer dans huit formats d'archives parfois exotiques sur PC : ZIP, ARJ, RAR, ACE, HA, PAK/ARC, LZH/LHA, et ZOO. Ses routines, une fois publiées dans leur mag, ont été reprises dans d'autres virus comme par exemple Win32.Legacy de Billy Belcebu/IKX.
Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1]
"Si tu peux supporter d'entendre tes paroles Travesties par des gueux pour exciter des sots"
[Rudyard Kipling]
-- Guillermito http://www.guillermito2.net
MELMOTH
Ce cher mammifère du nom de Guillermito nous susurrait, le mardi 18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <43542c19$0$24278$, les doux mélismes suivants :
"Si tu peux supporter d'entendre tes paroles Travesties par des gueux pour exciter des sots"
Certes... Mais ça...Ce n'était pas le sujet de philo de ton concours d'entrée à l' EIT (École Internationale Terroriste...Section Achelbaum)...
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Ce cher mammifère du nom de Guillermito nous susurrait, le mardi
18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand
même, et dans le message <43542c19$0$24278$626a14ce@news.free.fr>, les
doux mélismes suivants :
"Si tu peux supporter d'entendre tes paroles
Travesties par des gueux pour exciter des sots"
Certes...
Mais ça...Ce n'était pas le sujet de philo de ton concours d'entrée à
l' EIT (École Internationale Terroriste...Section Achelbaum)...
--
Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui
accroît sa science, accroît sa douleur.
[Ecclésiaste, 1]
Melmoth - souffrant
Ce cher mammifère du nom de Guillermito nous susurrait, le mardi 18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <43542c19$0$24278$, les doux mélismes suivants :
"Si tu peux supporter d'entendre tes paroles Travesties par des gueux pour exciter des sots"
Certes... Mais ça...Ce n'était pas le sujet de philo de ton concours d'entrée à l' EIT (École Internationale Terroriste...Section Achelbaum)...
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Olivier Aichelbaum
MELMOTH wrote:
Ce cher mammifère du nom de Guillermito nous susurrait, le mardi 18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <43542c19$0$24278$, les doux mélismes suivants :
"Si tu peux supporter d'entendre tes paroles Travesties par des gueux pour exciter des sots"
Certes... Mais ça...Ce n'était pas le sujet de philo de ton concours d'entrée à l' EIT (École Internationale Terroriste...Section Achelbaum)...
Qu'est ce que je viens faire encore dans votre discussion ?
Olivier Aichelbaum
MELMOTH wrote:
Ce cher mammifère du nom de Guillermito nous susurrait, le mardi
18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand
même, et dans le message <43542c19$0$24278$626a14ce@news.free.fr>, les
doux mélismes suivants :
"Si tu peux supporter d'entendre tes paroles
Travesties par des gueux pour exciter des sots"
Certes...
Mais ça...Ce n'était pas le sujet de philo de ton concours d'entrée à l'
EIT (École Internationale Terroriste...Section Achelbaum)...
Qu'est ce que je viens faire encore dans votre discussion ?
Ce cher mammifère du nom de Guillermito nous susurrait, le mardi 18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <43542c19$0$24278$, les doux mélismes suivants :
"Si tu peux supporter d'entendre tes paroles Travesties par des gueux pour exciter des sots"
Certes... Mais ça...Ce n'était pas le sujet de philo de ton concours d'entrée à l' EIT (École Internationale Terroriste...Section Achelbaum)...
Qu'est ce que je viens faire encore dans votre discussion ?
Olivier Aichelbaum
Roland Garcia
Ce cher mammifère du nom de Guillermito nous susurrait, le lundi 17/10/05, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <4353c7aa$0$7338$, les doux mélismes suivants :
Fin du pinaillage, je retourne dans mon trou :)
Cher terroriste de mon coeur,
C'est bien mon avis, il est beaucoup trop gentil ce Guillermito.
-- Roland Garcia
Ce cher mammifère du nom de Guillermito nous susurrait, le lundi
17/10/05, dans nos oreilles grandes ouvertes mais un peu sales quand
même, et dans le message <4353c7aa$0$7338$636a55ce@news.free.fr>, les
doux mélismes suivants :
Fin du pinaillage, je retourne dans mon trou :)
Cher terroriste de mon coeur,
C'est bien mon avis, il est beaucoup trop gentil ce Guillermito.
Ce cher mammifère du nom de Guillermito nous susurrait, le lundi 17/10/05, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <4353c7aa$0$7338$, les doux mélismes suivants :
Fin du pinaillage, je retourne dans mon trou :)
Cher terroriste de mon coeur,
C'est bien mon avis, il est beaucoup trop gentil ce Guillermito.
-- Roland Garcia
MELMOTH
Ce cher mammifère du nom de Roland Garcia nous susurrait, le mardi 18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message , les doux mélismes suivants :
C'est bien mon avis, il est beaucoup trop gentil ce Guillermito
En plus, il oublie régulièrement de mettre en route le bouton "marche/arrêt" de sa ceinture bombique... Il tient beaucoup trop à la vie, ce terroriste-là...M'étonnerait qu'il monte bien vite dans la hiérarchie...
Melmoth - explosif
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Ce cher mammifère du nom de Roland Garcia nous susurrait, le mardi
18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand
même, et dans le message <43554DAB.50309@wanadoo.fr>, les doux mélismes
suivants :
C'est bien mon avis, il est beaucoup trop gentil ce Guillermito
En plus, il oublie régulièrement de mettre en route le bouton
"marche/arrêt" de sa ceinture bombique...
Il tient beaucoup trop à la vie, ce terroriste-là...M'étonnerait qu'il
monte bien vite dans la hiérarchie...
Melmoth - explosif
--
Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui
accroît sa science, accroît sa douleur.
[Ecclésiaste, 1]
Melmoth - souffrant
Ce cher mammifère du nom de Roland Garcia nous susurrait, le mardi 18/10/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message , les doux mélismes suivants :
C'est bien mon avis, il est beaucoup trop gentil ce Guillermito
En plus, il oublie régulièrement de mettre en route le bouton "marche/arrêt" de sa ceinture bombique... Il tient beaucoup trop à la vie, ce terroriste-là...M'étonnerait qu'il monte bien vite dans la hiérarchie...
Melmoth - explosif
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Olivier Aichelbaum
Olivier Aichelbaum wrote:
Eric Grambier wrote:
Dans le dernier bulletin Certa : http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-014/index.html
C'est la faille dont j'ai parlé il y a quelques jours : http://shadock.net/secubox/AVCraftedArchive.html
Tiens, le site n'est plus en ligne (404). Dommage je voulais lui rendre visite pour voir s'il y avait du neuf.
Olivier Aichelbaum
Olivier Aichelbaum wrote:
Eric Grambier wrote:
Dans le dernier bulletin Certa :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-014/index.html
C'est la faille dont j'ai parlé il y a quelques jours :
http://shadock.net/secubox/AVCraftedArchive.html
Tiens, le site n'est plus en ligne (404). Dommage je voulais lui rendre
visite pour voir s'il y avait du neuf.
