Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Cómo engañar a los antivirus con Outlook Express
 
VSantivirus No. 798 - Año 6 - Sábado 14 de setiembre de 2002

 Cómo engañar a los antivirus con Outlook Express
http://www.vsantivirus.com/oe-bypass.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Una característica que presenta por defecto el Outlook Express, podría habilitar el camino a futuras creaciones víricas para engañar al software de protección.

Outlook Express es capaz de enviar mensajes de gran tamaño, divididos en paquetes más pequeños para evitar problemas con el ancho de banda consumido. Al recibirlo el destinatario, estos paquetes pueden volver a ser unidos en uno solo.

Esta característica es llamada 'message fragmentation and re-assembly' (MFR), pero no es solo una habilidad del OE, sino que se trata de un estándar en Internet (RFC 2046, sección 5.2.2.1).

A pesar de ser un estándar, el problema es que Outlook Express es el único software que soporta la unión de estos paquetes fragmentados por defecto, sin que el usuario deba hacerlo de forma premeditada.

Pero además, con esta opción, cualquier código maligno podría saltearse varios filtros de contenido, incluidos los proporcionados por los servidores SMTP, cortafuegos y los propios antivirus.

Una de las sugerencias de algunas de las empresas de seguridad que han estudiado el problema, es que los antivirus incluyan herramientas que unan estas partes antes de examinarlas, o incluso que bloqueen directamente los mensajes divididos de esta manera, como lo hace Symantec.

En la siguiente dirección se proporcionan varios tests, entre ellos uno para probar si su software es vulnerable: http://www.gfi.com/emailsecuritytest/. Seleccione el test "Fragmented message vulnerability test".

Referencias:

Bypassing SMTP Content Protection with a Flick of a Button
http://www.securiteam.com/securitynews/5YP0A0K8CM.html



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS