image

Virusscanners met aangepaste RAR-bestanden te omzeilen

dinsdag 21 januari 2020, 12:02 door Redactie, 14 reacties

Een beveiligingslek in verschillende virusscanners zorgt ervoor dat aangepaste RAR-bestanden die malware bevatten niet kunnen worden gescand, maar wel door de gebruiker zijn te openen. Het gaat om virusscanners die de scan-engine van Bitdefender gebruiken, waaronder Bullguard, G Data en Emsisoft.

"De engine is via een speciaal geprepareerd RAR-archief te omzeilen, zodat de eindgebruiker die kan openen, maar niet de antivirussoftware. De engine kan het archief niet scannen en geeft het een "schoon" beoordeling", zegt onderzoeker Thierry Zoller die het probleem ontdekte. Bitdefender heeft inmiddels een beveiligingsupdate uitgebracht. Dat geldt nog niet voor alle andere partijen die van de scan-engine gebruikmaken. Bitdefender stelt dat 38 procent van de beveiligingsoplossingen wereldwijd met de scan-engine van het bedrijf werkt. Zodra de overige antivirusbedrijven het probleem hebben verholpen zal Zoller meer details vrijgeven.

Het is niet de eerste keer dat de onderzoeker een dergelijke kwetsbaarheid in de engine van Bitdefender ontdekt. Via BZIP-bestanden was het eerder ook al mogelijk om de scan-engine te omzeilen. Volgens Zoller kostte het de nodige moeite om Bitdefender die kwetsbaarheid te laten patchen.

Reacties (14)
21-01-2020, 12:30 door Anoniem
Je kunt niet zeggen dat die malwarebouwers niet inventief zijn. Die gasten zijn rete-irritant met hun rotzooi, maar ik kijk wel met bewondering hoe inventief die lui kunnen zijn.
21-01-2020, 13:17 door Briolet
Door Anoniem: Je kunt niet zeggen dat die malwarebouwers niet inventief zijn. .

Ze kunnen ook hun hele tijd stoppen in dit soort geklooi. En het wordt steeds lucratiever zodat je de geïnvesteerde tijd ook terug verdient. Je hoeft maar 1 bedrijf per 5 jaar je besmetten om lekker te kunnen leven van het losgeld. Betalen doen ze wel. En anders wel hun verzekeraars.
21-01-2020, 13:48 door Erik van Straten
Thierry Zoller heeft een hele reeks lekken ([TZO-001-2020] t/m [TZO-010-2020], niet alleen m.b.t. RAR archives, aangekaart die, voor een deel, al heel lang bekend zijn.

Zie https://blog.zoller.lu/2020/01/a-new-blog-post-since-last-one-in-2013.html. Daaruit:
[...]
I wrote a post about this bug class in 2009 and in essence, it still holds true.
[...]

Droom lekker verder als je denkt dat antivirusproducten je altijd beschermen en/of 100% van de ITW (In The Wild) malware detecteren en blokkeren.
21-01-2020, 13:51 door Anoniem
Hier nog een aantal anti-virus solutions die bitdefender als engine gebruiken.

Auslogics Antivirus
e-Scan,
IObit Advanced SystemCare with Antivirus 2013
F-Secure,
Hauri (ViRobot)
Imen,
Immunet,
Lavasoft Total Security,
MultiCore Antivirus
Qihoo 360,
RadialPoint,
Roboscan Internet Security
SafeNSoft,
SecurityCoverage,
SourceNext,
SurfRight,
TrustPort,
VirusChaser,
Zenok.
AV-Defender
21-01-2020, 15:42 door Anoniem
Door Anoniem: Hier nog een aantal anti-virus solutions die bitdefender als engine gebruiken.

Auslogics Antivirus
e-Scan,
IObit Advanced SystemCare with Antivirus 2013
F-Secure,
Hauri (ViRobot)
Imen,
Immunet,
Lavasoft Total Security,
MultiCore Antivirus
Qihoo 360,
RadialPoint,
Roboscan Internet Security
SafeNSoft,
SecurityCoverage,
SourceNext,
SurfRight,
TrustPort,
VirusChaser,
Zenok.
AV-Defender

Top! (Er zijn dus mensen die WEL waardevolle bijdrages leveren op security.nl)
21-01-2020, 16:32 door Anoniem
Door Anoniem: Hier nog een aantal anti-virus solutions die bitdefender als engine gebruiken.

Auslogics Antivirus
e-Scan,
IObit Advanced SystemCare with Antivirus 2013
F-Secure,
Hauri (ViRobot)
Imen,
Immunet,
Lavasoft Total Security,
MultiCore Antivirus
Qihoo 360,
RadialPoint,
Roboscan Internet Security
SafeNSoft,
SecurityCoverage,
SourceNext,
SurfRight,
TrustPort,
VirusChaser,
Zenok.
AV-Defender

niet juist, F-Secure gebruikt deze niet meer bijvoorbeeld
21-01-2020, 16:37 door Anoniem
Door Anoniem: Hier nog een aantal anti-virus solutions die bitdefender als engine gebruiken.

F-Secure,

Dit is niet correct. F-Secure gebruikt al lang een eigen anti-malware engine.
21-01-2020, 16:59 door Anoniem
Bronvermelding maakt je post controleerbaar / verifieerbaar .... ;-)
Ik mis dat in de bovenstaande posts.
21-01-2020, 19:43 door Anoniem
Je kunt ook gewoon een goeie AV zoals Kaspersky kopen, dan is dit geen probleem.
21-01-2020, 21:38 door Erik van Straten
Door Anoniem: Je kunt ook gewoon een goeie AV zoals Kaspersky kopen, dan is dit geen probleem.
[TZO-002-2020] - Kaspersky Generic Bypass (ZIP)
[TZO-005-2020] - Kaspersky Generic Bypass II (ZIP)
21-01-2020, 22:58 door Anoniem
Door Anoniem: Je kunt ook gewoon een goeie AV zoals Kaspersky kopen, dan is dit geen probleem.
Of gewoon je gezond verstand gebruiken door geen RAR-bestanden (of welk ingepakte file ook) van onbekende bron te openen. Doe je dat wel, dan is dat vragen om problemen.

Toen ik begon met computeren liep ik één keer tegen een virus op. Dat was mijn eigen schuld. Onwetend als ik was (en nieuwsgierig) klikte ik overal op waar je maar op kon klikken. Eenmaal een besmet systeem had ik meteen een harde leerles gehad. Sindsdien nooit meer tegen een virus opgelopen. Niet onder Windows, en onder Linux heb ik er zelfs nog nooit één van dichtbij gezien.

Het kan dus wel, maar kloten met onbekende bijlages en bestanden van dubieuze bron, dat is geheid stront aan de knikker. En dan (en dan ben ik er keihard in) is het je verdiende loon als je besmet wordt.
22-01-2020, 09:03 door Anoniem
Door Anoniem: Je kunt ook gewoon een goeie AV zoals Kaspersky kopen, dan is dit geen probleem.

Of gewoon een goede, gratis virusscanner die standaard in Windows zit ingebakken.
22-01-2020, 10:06 door Erik van Straten - Bijgewerkt: 22-01-2020, 10:08
Door Anoniem: Je kunt ook gewoon een goeie AV zoals Kaspersky kopen, dan is dit geen probleem.
[TZO-002-2020] - Kaspersky Generic Bypass (ZIP)
[TZO-005-2020] - Kaspersky Generic Bypass II (ZIP)
22-01-2020, 17:27 door Anoniem
ZIP is geen RAR. Verder is het aan te bevelen om RAR of ZIP archieven (eigenlijk alle archieven) die je niet zelf gemaakt hebt gewoon te verwijderen. Hoe komen dergelijke RAR bestanden binnen trouwens, via e-mail? Want dan weet je al dat je op moet passen, zeker met bijlages.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.