leyendo un articulo en securitiTeam.com, me parecio algo novedoso lo q encontre:

Varios programas de AntiVirus no exploran los filesnames que contienen caracteres no-imprimibles del ASCII, además en vez de bloquearlos hacen caso omiso simplemente.

Sistemas Vulnerables:
 * BitDefender Antivirus
 * Trustix Antivirus
 * Avast! Antivirus
 * Cat Quick Heal Antivirus
 * Abacre Antivirus
 * VisNetic Antivirus (bypass only with manual scan)
 * AntiVir Personnal Edition Antivirus
 * Clamav for Windows Antivirus
 * Lavasoft Adware SE Personal Edition
 * Antiy Ghostbusters Professional Edition

Sistemas Inmunes:
 * Kaspersky Antivirus
 * AVG Free

Varios programas de AntiVirus no exploran los archivos que contienen los caracteres extendidos del ASCII y los caracteres que son más bajos que 0x20. Un atacante puede modificar un nombre de fichero malicioso a un nombre de fichero que alternadamente haga que los programas de AntiVirus no hagan caso del nombre de fichero.

Prueba de Concepto:

Encuentre un programa detectado por su protección antivirus
BitDefender por ejemplo detecta al programa ClearLogs.

ClearLogs es un programa para borrar logs del sistema
BitDefender > > Detectado: Application.Clearlog.A

Renombramos clearlogs.exe por clearlogs[aqui presionamos Alt + 1].exe
El Alt + "algunos números" genera caracteres especiales de ASCII.

reactivamos la proteccion del antivirus y escaneamos la PC
resultado: [ 100% ] "exploración terminada: ningun virus encontrado "

ahora ejecutamos el exe modificado:
C:\SecuBox.Labs\clearlogs ~ .exe
    ClearLogs 1.0 - (c) 2002, Arne Vidstrom
    Usage: clearlogs [\\computername] <-app / -sec / -sys>

            -app = application log
            -sec = security log
            -sys = system log

si analizamos la exploracion:
C:\SecuBox.Labs\clearlogs?.exe
Carpetas: 0
Archivos: 4
Archivos: 0
Archivos embalados: 0
Virus identificados: 0
Archivos infectados: 0
Advertencias: 0
Archivos sospechados: 0
Archivos desinfectados: 0
Archivos suprimidos: 0
Archivos copiados: 0
Archivos movidos: 0
Archivos retitulados: 0
Errores de I/O: 0
Tiempo de la exploración: 00:00:01
Velocidad de la exploración (files/sec): 4

interesante!!!

Salu2











 

jaja padrisimo, pero al norton le vale el nombre.. pero bno.. continuare con offsets.. que 4 de mis codigos marca yo, ya los tiene el liveupdate... malditos usuarios

Interesante fallo, aunque algo tonto por parte de las casas antivirus afectadas.

Saludos