Kaspersky Lab, ein international fuehrender Experte im Bereich IT-Sicherheit, bestaetigt die vom Sicherheitsunternehmen iDefense festgestellte Angreifbarkeit virengescannter ZIP-Dateien in verschiedenen Anti-Viren-Programmen von McAfee, Computer Associates, Kaspersky Lab, Sophos, Eset und RAV.
Die Manipulation erfolgt, indem die Datei-Haeder einer ZIP-Datei leicht veraendert werden. Durch diese Veraenderungen koennen die ZIP-Dateien weiterhin geoeffnet und darin enthaltene Dateien mit den eingeschleusten Wuermern oder Viren eingepackt werden. Erst nach ihrer Aktivierung werden die Viren und Wuermer durch den Virenscanner erkannt.
Das Datei-Format ZIP bewahrt die Information ueber jede komprimierte Datei an zwei verschiedenen Orten auf (local/global header). Diese Datei-Header enthalten die Daten ueber die reale Groesse der unkomprimierten Datei. Wenn die reale Groesse der unkomprimierten Dateien in beiden Dateivorsaetzen auf '0' veraendert wird, ueberprueft der Virenscanner die Datei, betrachtet sie als zu klein, als dass sie potenzielle Gefahren beinhalten koennte, und stuft diese als ungefaehrlich ein. Da die Dienstprogramme der Archive jedoch beim Auspacken der Dateien nicht die angezeigte Groesse nutzen, werden nun die bereits modifizierten Archive entpackt.
"Wir danken iDefense, dass die Aufmerksamkeit auf diese Manipulierbarkeit gerichtet wurde. Bislang ist es nur ein theoretisches Sicherheitsrisiko, wir haben keinerlei Angriffsversuche zu verzeichnen. Die Experten von Kaspersky Lab beheben den gefundenen Fehler, der durch das Missverhaeltnis von ZIP-Mechanismen und Antiviren-Scanner hervorgerufen wird", unterstreicht Eugene Kaspersky, Leiter der Kasperky Lab Anti-Viren-Forschung. "Bei der Analyse der archivierten Datei wiederholt der Virenscanner vollstaendig die Vorgaenge des Archivierungsprogramms, indem er zunaechst die Datei auspackt und erst danach analysiert. Dieses Prozedere bietet Anwendern von Kaspersky Anti-Virus einen vollstaendigen Schutz vor manipulierten ZIP-Archiven. Eines der naechsten woechentlichen Updates fuer die Versionen 3.x und 4.x sowie ein Patch fuer 5.x werden die inkonsistenten Mechanismen zwischen Virenscanner und ZIP-Archiver beseitigen", fuegt Eugene Kaspersky hinzu.
Die Manipulation erfolgt, indem die Datei-Haeder einer ZIP-Datei leicht veraendert werden. Durch diese Veraenderungen koennen die ZIP-Dateien weiterhin geoeffnet und darin enthaltene Dateien mit den eingeschleusten Wuermern oder Viren eingepackt werden. Erst nach ihrer Aktivierung werden die Viren und Wuermer durch den Virenscanner erkannt.
Das Datei-Format ZIP bewahrt die Information ueber jede komprimierte Datei an zwei verschiedenen Orten auf (local/global header). Diese Datei-Header enthalten die Daten ueber die reale Groesse der unkomprimierten Datei. Wenn die reale Groesse der unkomprimierten Dateien in beiden Dateivorsaetzen auf '0' veraendert wird, ueberprueft der Virenscanner die Datei, betrachtet sie als zu klein, als dass sie potenzielle Gefahren beinhalten koennte, und stuft diese als ungefaehrlich ein. Da die Dienstprogramme der Archive jedoch beim Auspacken der Dateien nicht die angezeigte Groesse nutzen, werden nun die bereits modifizierten Archive entpackt.
"Wir danken iDefense, dass die Aufmerksamkeit auf diese Manipulierbarkeit gerichtet wurde. Bislang ist es nur ein theoretisches Sicherheitsrisiko, wir haben keinerlei Angriffsversuche zu verzeichnen. Die Experten von Kaspersky Lab beheben den gefundenen Fehler, der durch das Missverhaeltnis von ZIP-Mechanismen und Antiviren-Scanner hervorgerufen wird", unterstreicht Eugene Kaspersky, Leiter der Kasperky Lab Anti-Viren-Forschung. "Bei der Analyse der archivierten Datei wiederholt der Virenscanner vollstaendig die Vorgaenge des Archivierungsprogramms, indem er zunaechst die Datei auspackt und erst danach analysiert. Dieses Prozedere bietet Anwendern von Kaspersky Anti-Virus einen vollstaendigen Schutz vor manipulierten ZIP-Archiven. Eines der naechsten woechentlichen Updates fuer die Versionen 3.x und 4.x sowie ein Patch fuer 5.x werden die inkonsistenten Mechanismen zwischen Virenscanner und ZIP-Archiver beseitigen", fuegt Eugene Kaspersky hinzu.
