Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, bestätigt die vom Sicherheitsunternehmen iDefense festgestellte Angreifbarkeit virengescannter ZIP-Dateien in verschiedenen Anti-Viren-Programmen von McAfee, Computer Associates, Kaspersky Lab, Sophos, Eset und RAV.

Die Manipulation erfolgt, indem die Datei-Haeder einer ZIP-Datei leicht verändert werden. Durch diese Veränderungen können die ZIP-Dateien weiterhin geöffnet und darin enthaltene Dateien mit den eingeschleusten Würmern oder Viren eingepackt werden. Erst nach ihrer Aktivierung werden die Viren und Würmer durch den Virenscanner erkannt.

Das Datei-Format ZIP bewahrt die Information über jede komprimierte Datei an zwei verschiedenen Orten auf (local/global header). Diese Datei-Header enthalten die Daten über die reale Größe der unkomprimierten Datei. Wenn die reale Größe der unkomprimierten Dateien in beiden Dateivorsätzen auf 0 verändert wird, überprüft der Virenscanner die Datei, betrachtet sie als zu klein, als dass sie potenzielle Gefahren beinhalten könnte, und stuft diese als ungefährlich ein. Da die Dienstprogramme der Archive jedoch beim Auspacken der Dateien nicht die angezeigte Größe nutzen, werden nun die bereits modifizierten Archive entpackt.

'Wir danken iDefense, dass die Aufmerksamkeit auf diese Manipulierbarkeit gerichtet wurde. Bislang ist es nur ein theoretisches Sicherheitsrisiko, wir haben keinerlei Angriffsversuche zu verzeichnen. Die Experten von Kaspersky Lab beheben den gefundenen Fehler, der durch das Missverhältnis von ZIP-Mechanismen und Antiviren-Scanner hervorgerufen wird', unterstreicht Eugene Kaspersky, Leiter der Kasperky Lab Anti-Viren-Forschung. 'Bei der Analyse der archivierten Datei wiederholt der Virenscanner vollständig die Vorgänge des Archivierungsprogramms, indem er zunächst die Datei auspackt und erst danach analysiert. Dieses Prozedere bietet Anwendern von Kaspersky Anti-Virus einen vollständigen Schutz vor manipulierten ZIP-Archiven. Eines der nächsten wöchentlichen Updates für die Versionen 3.x und 4.x sowie ein Patch für 5.x werden die inkonsistenten Mechanismen zwischen Virenscanner und ZIP-Archiver beseitigen, fügt Eugene Kaspersky hinzu.