Truc null-byte fopt scan nog steeds
Gepubliceerd: Dinsdag 30 oktober 2007
Auteur: Michiel van Blommestein
De Belgische IT-beveiliger Didier Stevens schrijft op zijn blog dat het toevoegen van null-bytes aan HTML-scripts nog steeds scans van anti-virussoftware om de tuin leidt. Internet Explorer voert deze scripts vervolgens doodleuk uit.
Stevens deed zijn ontdekking vorige week. Vijftien van de 32 pakketten op VirusTotal, waaronder Symantec en Panda, herkenden zijn testscript niet als schadelijk. Hoe meer null-bytes hij toevoegde, des te minder programma's de code detecteerden.
De grens lag voor de scanners op 254 null-bytes. Eén byte meer en ook McAfee ziet de code niet meer. IE voert het script dan wel gewoon uit. Bij de comments meldt Stevens dat Firefox met een script met twee of meer null-bytes achter elkaar tegen renderingproblemen aanloopt.
Het trucje is oud en bekend, maar niet voldoende opgepakt, is de conclusie. Wel voegt Stevens eraan toe dat de meeste moderne anti-viruspakketten niet alleen scannen, maar ook scripts testen als deze wordt uitgevoerd. "Je kunt niet alleen aan op VirusTotal resultaten", schrijft Stevens.
Bron: Techworld
