miércoles, 23 de marzo de 2005

Los antivirus también son vulnerables

Lo he leído en el Internet Storm Center de hace un par de días. Alguien ha descubierto que puede infectar a algunos antivirus de McAfee ("library version prior to 4400"; no sé si eso excluye a mi McAfee 5.44XX). ¿Cómo? Muy fácil.

En la búsqueda de nuevas vulnerabilidades, últimamente se había visto que era posible manipular los archivos comprimidos (ZIP, ARJ, RAR, LHA...) de forma que al descomprimirlos sucediera uno de esos "fallos de protección general" de Windows... fallos que un hacker puede utilizar para obligar a nuestro ordenador a hacer cosas indeseables.

Ahora, alguien se ha dado cuenta de que los antivirus descomprimen los archivos comprimidos en busca de virus, así que de ahí a crear un LHA capaz de utilizar a McAfee no había un gran trecho. Sospecho que dentro de nada se verá que otros antivirus son vulnerables a este tipo de ataques.

Por cierto que en el mismo boletín de Internet Storm Center avisan de una vulnerabilidad en el motor Java 1.4.2 de Sun, el que yo uso. Ya os indiqué que había una tendencia nueva consistente en atacar este motor de java para así afectar a quienes no usan el Explorer de Microsoft.
Deshabilito el java en este mismo momento. Ya me descargaré el java 1.5.x después de vacaciones.

2 comentarios:

DrQbikus dijo...

Yo no sé muy bien por qué, pero no sé por qué los virus no hacen algo tan sencillo como evitar que los antivirus los puedan analizar.

Sería algo tan sencillo como hacer un "hook" de la función de lectura de ficheros de la API de Windows para que al hacer lecturas de la zona del fichero que está ocupada por el virus, simplemente devuelva ceros, o valores aleatorios, etc.

No sé, sus motivos tendrán, o igual es que sus creadores son unos chapuceros :D

josemoya dijo...

Bueno, algunos virus lo harán... (si lo hacían los de ms-dos...)

De hecho, lo que describes es lo que hacen los rootkit, y gracias a ello los descubre el "rootkit revealer" de sysinternals.

Pero los virus normales se limitan a buscar en memoria los antivirus y desactivarlos.