Comentarios en: Shellcodes para Microsoft Office

Por: Miguel

Miguel — Sat, 23 May 2009 03:51:53 +0000

/*++

A eso me referia con el ejemplo de los appliances y los productos de seguridad corporativos. En Gateways, por ejemplo, dificilmente dejaran pasar un ZIP con contraseña. Y de la misma forma, tampoco pasara un fichero Office que tenga algo sospechoso. No se si en este caso concreto se podria detectar esa anomalia en el fichero de forma generica, y tampoco los AVs lo hacen o no. Pero lo que si creo es que en lineas generales en entornos mas restrictivos estas cosas tienden a detectarse.

Un saludo!
–*/

Por: Mario

Mario — Fri, 22 May 2009 04:22:05 +0000

Yo creo que Andres se refiere a si actualmente los antivirus usan heuristica en ficheros de office. Algunos lo hacen, aunque no se si tienen en cuenta cosas como esta, pero es comun buscar ejecutables embebidos en determinadas areas, por ejemplo.

Un saludo,

Por: Miguel

Miguel — Fri, 22 May 2009 01:53:06 +0000

/*++
Buenos dias!

Yo creo que los AV detectarian un fichero con esas caracteristicas en situaciones concretas.

En un prodcuto de consumo seguramente solo se detectaria si el AV en cuestion tuviese un numero considerable de clientes afectados. Y seguramente solo lo detectarian con analisis bajo demanda, pero no con un residente de ficheros.

En cambio, el mismo AV funcionando en un Appliance, o en su version de producto corporativo yo creo que si lo pillarian (O deberían).

En todo caso, no creo que en este caso el problema de los AVs sea tecnologico.

–*/

Por: ruben

ruben — Thu, 21 May 2009 15:06:52 +0000

nop. Porque el antivirus tiene que parsear e interpretar inteligentemente el documento para descubrir el overlay.

Por: Andres Tarasco

Andres Tarasco — Thu, 21 May 2009 10:32:03 +0000

Desde mi desconocimiento, me surge una duda..
El añadir bytes extras al documento, sin estar mapeada esa región internamente, ¿no genera alertas por parte de motores av?