Andrey Bayora heeft een advisory vrijgegeven waarbij beschreven wordt
hoe AntiVirus producten (virusscanners) worden gesaboteerd door file
headers te manipuleren. Wanneer een file header wordt gemanipuleerd
dan zijn er nogal wat virusscanners die de kwaadaardige content van het
bestand skippen, waardoor deze toch systemen kunnen binnendringen.
Andrey heeft daarop direct een aantal Antivirus aanbieders gewaarschuwd.
De lijst van antivirusproducten die gevoelig zijn van dit soort aanvallen
staan hieronder:

Het lek kan WEL uitgebuit worden in de volgende AV-producten:

1. ArcaVir 2005 (engine 2005-06-03,vir def 2005-06-27, scanner ver 2005-
03-06, package ver 2005-06-21)
2. AVG 7 (updates 24 June, ver.7.0.323, virus base 267.8.0/27)
3. eTrust CA (ver 7.0.1.4, engine 11.9.1, vir sig. 9229)
4. Dr.Web (v.4.32b, update 27.06.2005)
5. F-Prot (ver. 3.16c, update 6/24/2005)
6. Ikarus (latest demo version for DOS)
7. Kaspersky (update 24 June, ver. 5.0.372)
8. McAfee Internet Security Suite 7.1.5 (updates 25 June, ver 9.1.08, engine
4.4.00, dat 4.0.4519 6/22/2005)
9. McAfee Corporate (updates 25 June, ver. 8.0.0 patch 10, vir def 4521,
engine 4400)
10. Norman ( ver 5.81, engine 5.83.02, update 2005/06/23)
11. TrendMicro PC-Cillin 2005 (ver 12.0.1244, engine 7.510.1002, pattern
2.701.00)
12. TrendMicro OfficeScan (ver7.0, engine 7.510.1002, vir pattern 2.701.00
6/23/2005)
13. Panda Titanium 2005 (updates 24 June, ver 4.02.01)
14. UNA – Ukrainian National Antivirus (ver. 1.83.2.16 kernel v.265)
15. Sophos 3.91 (engine 2.28.4, virData 3.91)
UPDATE, October 26, 2005 (based on the http://www.virustotal.com scan
results, view the log at http://www.securityelf.org/updmagic.html)
16. CAT-QuickHeal (ver 8.0)
17. Fortinet (2.48.0.0)
18. TheHacker (5.8.4.128

Producten die NIET-gevoelig zijn, zijn de onderstaande AV-producten:

1. F-Secure (updates 24 June, ver 5.56 b.10450)
2. Avast (ver. 4.6.655, vir databas 0525-5 06/25/2005)
3. BitDefender (ver. 8.0.200, update 6/24/2005, engine 7.01934)
4. ClamWin (ver. 0.86.1, upd 24 June 2005)
5. NOD32 (updates 24 June, ver 2.50.25, vir database 1.1152)
6. Symantec Corporate (ver 10.0.0.359, engine 103.0.2.7)
7. Norton Internet Security 2005 (ver 11.5.6.14)
8. VBA32 (ver 3.10.4, updates 27.06.2005)
9. HBEDV Antivir Personal (ver 6.31.00.01, engine 6.31.0.7, vir def
6.31.0.109 6/24/2005)
10. Sophos 5 (ver. 5.0.2, vir def 3.93, upd 6/30/2005)
11. Sophos 3.95 (engine 2.30.4)

De ernst van het lek is volgens Andrey: CRITICAL.

Opmerkelijk zijn de resultaten voor Kaspersky (lek) en Symantec (niet-lek).
Het verdient aanbeveling om direct na te gaan of de AnitVirus fabrikanten
updates hebben uitgegeven om dit ernstige lek te dichten.

Het verhaal is te vinden op de website van Dshield.

Link: http://www.dshield.org/

Of meer specifiek:
http://isc.sans.org/diary.php?storyid=794