Virusscanners met aangepaste RAR-bestanden te omzeilen
Een beveiligingslek in verschillende virusscanners zorgt ervoor dat aangepaste RAR-bestanden die malware bevatten niet kunnen worden gescand, maar wel door de gebruiker zijn te openen. Het gaat om virusscanners die de scan-engine van Bitdefender gebruiken, waaronder Bullguard, G Data en Emsisoft.
"De engine is via een speciaal geprepareerd RAR-archief te omzeilen, zodat de eindgebruiker die kan openen, maar niet de antivirussoftware. De engine kan het archief niet scannen en geeft het een "schoon" beoordeling", zegt onderzoeker Thierry Zoller die het probleem ontdekte. Bitdefender heeft inmiddels een beveiligingsupdate uitgebracht. Dat geldt nog niet voor alle andere partijen die van de scan-engine gebruikmaken. Bitdefender stelt dat 38 procent van de beveiligingsoplossingen wereldwijd met de scan-engine van het bedrijf werkt. Zodra de overige antivirusbedrijven het probleem hebben verholpen zal Zoller meer details vrijgeven.
Het is niet de eerste keer dat de onderzoeker een dergelijke kwetsbaarheid in de engine van Bitdefender ontdekt. Via BZIP-bestanden was het eerder ook al mogelijk om de scan-engine te omzeilen. Volgens Zoller kostte het de nodige moeite om Bitdefender die kwetsbaarheid te laten patchen.
Ze kunnen ook hun hele tijd stoppen in dit soort geklooi. En het wordt steeds lucratiever zodat je de geïnvesteerde tijd ook terug verdient. Je hoeft maar 1 bedrijf per 5 jaar je besmetten om lekker te kunnen leven van het losgeld. Betalen doen ze wel. En anders wel hun verzekeraars.
Zie https://blog.zoller.lu/2020/01/a-new-blog-post-since-last-one-in-2013.html. Daaruit:
I wrote a post about this bug class in 2009 and in essence, it still holds true.
[...]
Droom lekker verder als je denkt dat antivirusproducten je altijd beschermen en/of 100% van de ITW (In The Wild) malware detecteren en blokkeren.
Auslogics Antivirus
e-Scan,
IObit Advanced SystemCare with Antivirus 2013
F-Secure,
Hauri (ViRobot)
Imen,
Immunet,
Lavasoft Total Security,
MultiCore Antivirus
Qihoo 360,
RadialPoint,
Roboscan Internet Security
SafeNSoft,
SecurityCoverage,
SourceNext,
SurfRight,
TrustPort,
VirusChaser,
Zenok.
AV-Defender
Auslogics Antivirus
e-Scan,
IObit Advanced SystemCare with Antivirus 2013
F-Secure,
Hauri (ViRobot)
Imen,
Immunet,
Lavasoft Total Security,
MultiCore Antivirus
Qihoo 360,
RadialPoint,
Roboscan Internet Security
SafeNSoft,
SecurityCoverage,
SourceNext,
SurfRight,
TrustPort,
VirusChaser,
Zenok.
AV-Defender
Top! (Er zijn dus mensen die WEL waardevolle bijdrages leveren op security.nl)
Auslogics Antivirus
e-Scan,
IObit Advanced SystemCare with Antivirus 2013
F-Secure,
Hauri (ViRobot)
Imen,
Immunet,
Lavasoft Total Security,
MultiCore Antivirus
Qihoo 360,
RadialPoint,
Roboscan Internet Security
SafeNSoft,
SecurityCoverage,
SourceNext,
SurfRight,
TrustPort,
VirusChaser,
Zenok.
AV-Defender
niet juist, F-Secure gebruikt deze niet meer bijvoorbeeld
F-Secure,
Dit is niet correct. F-Secure gebruikt al lang een eigen anti-malware engine.
Ik mis dat in de bovenstaande posts.
[TZO-005-2020] - Kaspersky Generic Bypass II (ZIP)
Toen ik begon met computeren liep ik één keer tegen een virus op. Dat was mijn eigen schuld. Onwetend als ik was (en nieuwsgierig) klikte ik overal op waar je maar op kon klikken. Eenmaal een besmet systeem had ik meteen een harde leerles gehad. Sindsdien nooit meer tegen een virus opgelopen. Niet onder Windows, en onder Linux heb ik er zelfs nog nooit één van dichtbij gezien.
Het kan dus wel, maar kloten met onbekende bijlages en bestanden van dubieuze bron, dat is geheid stront aan de knikker. En dan (en dan ben ik er keihard in) is het je verdiende loon als je besmet wordt.
Of gewoon een goede, gratis virusscanner die standaard in Windows zit ingebakken.
[TZO-005-2020] - Kaspersky Generic Bypass II (ZIP)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
