构造特殊文件名绕过多个反病毒引擎

类别: 设计错误

威胁程度：中

BUGTRAQ ID: 15423

受影响的反病毒引擎:
 
  Kaspersky Antivirus
  Symantec AntiVirus
  F-Prot Antivirus
  ClamWin Antivirus
  Avast Antivirus
  RAV AntiVirus
  Microsoft AntiSpyware
 
经测试版本:
  Symantec AntiVirus Corporate 8.0
  Kaspersky Antivirus Personal Pro 4.5.0.104
  Kaspersky Antivirus For MS NTServer 4.5.0.104
  F-Prot Antivirus 3.16c
  ClamWin Antivirus 0.87
  Avast.Professional.Edition.v4.6.603
  RAV.AntiVirus.Desktop.v8.6
  Microsoft AntiSpyware beta1




1.问题描述：

  Windows 系统可使用多种特殊符号作为文件名，一些反病毒引擎无法正常解析特殊构造文件名，从而对文件操作失败。

2.技术描述：

  测试方法：
 
  选择一个可被检测的文件，比如nc.exe,对文件进行重命名为：nc??.exe。(?? =hex C0 D7 BA DC)
 
  然后使用反病毒软件进行扫描。
 
  因为这些特殊的名字无法直接输入，那么如果想使用修改后的文件(nc??.exe)，可以采用如下方法：
 
  [ROOT@D:/Vul/bugtrap]#dir /x
 
  1998-01-03 14:37         59,392 NC294E~1.EXE nc??.exe

  [ROOT@D:/Vul/bugtrap]#NC294E~1.EXE -help
  [v1.10 NT]
  connect to somewhere:   nc [-options] hostname port[s] [ports] ...
  listen for inbound:   nc -l -p port [options] [hostname] [port]
  options:
 
  使用MS-DOS文件名，可以对文件进行打开、读取、写入和复制等操作。
 
 
  事实上多数厂家在对此类问题处理上均有一些问题：比如Kaspersky在右键点击的此类文件时弹出菜单无扫描选项，Symantec AntiVirus Corporate V10.0.1.1000 可以检测但无法清除。AVG Anti-Virus 正常路径扫描可以通过，但点击扫描选项后却无法读文件。

上一篇：互联网安全公告20051210-20051216

下一篇：PHP Open_BaseDir 安全限制绕过漏洞

昵称 (必填)

验证码 (必填)