Die Linux-Virenscanner von Trend Micro (Interscan Viruswall SMB vscan) und Sophos (Sophos SWEEP Virus Detection Utility) erkennen Schädlinge in Dateien mit ungewöhnlichen Namen nicht mehr, wenn diese in ZIP-Archiven enthalten sind. Dies will der Sicherheitsdiensleister AERAsec in seinen Tests festgestellt haben. Seinem Advisory zufolge überspringen die Scanner Dateien beim Entpacken, wenn diese Escape-Zeichen im Namen tragen, wie etwa "Test^G^[[2J^[[2;5m^[[1;31mHACKER ATTACK^[[2;25m^[[22;30m^[[3q.txt"
Im Test überprüfte AERAsec die Produkte mit dem Eicar-Test-String und dem Sober.L-Wurm und gab den Dateien im Archiv sowohl normale Namen als auch solche mit Escape-Sequenzen. Offenbar sind die Entpacker von Trend Micro und Sophos nicht in der Lage letztere zu dekomprimieren. Die ebenfalls untersuchten Scanner von Kaspersky, F-Prot und McAfee mit Webwasher fanden zwar die Schädlinge, schrieben aber die Dateinamen ungefiltert in die Log-Dateien. Bei der Ansicht des Logs können die Escape-Zeichen - je nach Anzeige-Tool - die Ausgabe durcheinander bringen. Unter Umständen lassen sich so auch Ereignisse im Log verschleiern. Im Testfeld filterte nur der Open-Source-Scanner ClamAV die unerwünschten Zeichen aus und fand auch den Schädling. Die betroffenen Hersteller sind über die Probleme informiert und arbeiten an deren Lösung.
Die Verarbeitung von Archiven bereitet den Herstellern von Antivirensoftware des öfteren Probleme. Zuletzt meldeten F-Secure und Symantec Buffer Overflows, die beim Entpacken auftraten. Damit ließ sich sogar Schadcode in das Virengateway einschleusen. Auch ClamAV stürzte in der Vergangenheit des Öfteren bei der Verarbeitung manipulierter Archive ab.
Cheers
@JAckI:chrz:
