«Trucos» con archivos
jueves, 29 de septiembre de 2016
Si alguna vez ha visto los resultados de pruebas comparativas de antivirus, por supuesto notó que el número de objetos escaneados puede ser distinto en función de los productos sometidos a pruebas. Y a veces esto número supera el número de archivos del conjunto escaneado. Y la causa es bastante obvia.
Un antivirus — es (así mismo) un desempaquetador universal que permite descompilar cualquier objeto, incluso los que no pueden ser procesados por ningún otro desempaquetador.
Aquí pueden consultarse solo dos párrafos de requisitos al antivirus de la documentación de “tender”:
Un antivirus instalado en el equipo deben asegurar el escaneo de:
- Archivos y objetos de formato Smart Install Maker (SIM); DMG, HFS, XAR, Universal Binary (MacOS); SIS (Symbian 9); INNO SETUP (5.3.9 y superior); SETUP FACTORY (gamas 7,8); XENOCODE; TARMA INSTALL (gama 3); XZ (UNIX); COMPRESS; SQUAHFS; CHILKAT ZIP; paquetes LHA (AWARD BIOS),
- Archivos y objetos en archivos de autodescompresión: AppPackager, Astrum Install Wizard, Create Install, Fly Studio, GSFX, Hot Soup, Inno Setup, Install Essen, Install Factory, Linder Setup, NSIS (NullSoft Installation System), RSFX, SEA, Setup Factory, Setup Generator Pro, SXA ZIP, Tarma Install, Thunder Setup System, Wise Installation System, Alloy.
Y estos no son todos los formatos posibles.
Pero también un escaneo antivirus ordinario puede causar sorpresas vinculados al número de objetos escaneados. Por ejemplo, hay un archivo de tamaño cero:
Vamos a pedir que el antivirus lo escanee.
¿Qué pasa? ¿Por qué hay dos objetos escaneados? ¿Se falsificó el resultado del contador? En realidad, no hay ninguna falsificación: simplemente un antivirus escanea archivos (y carpetas) a profundidad no percibida por los usuarios ordinarios.
En los libros de ciencia ficción a menudo se trata de un monedero mágico donde se puede colocar varias cosas, – y así mismo el tamaño y el peso del monedero no se cambian para el titular del mismo. Los archivos y las carpetas en el sistema de archivos NTFS usado en los SO Windows modernos son estos «monederos mágicos».
Todos saben que un archivo tiene atributos– los derechos de lectura y escritura.
Pero, además de estos atributos, al archivo (y a la carpeta) se le puede asignar otros – invisibles para el usuario en caso de trabajo con administradores de archivos ordinarios.
Por ejemplo, se puede escribir otro archivo al archivo de tamaño cero.
Vamos a ver un virus de prueba eicar (por ejemplo, desde la página http://www.eicar.org/85-0-Download.html). Este «programa» (EICAR — European Institute for Computer Anti-Virus Research) fue desarrollado para que el usuario, sin someter su equipo a riesgo, pueda ver, como el antivirus instalado informará sobe la detección de un virus.
Pero no olvide desactivar la protección antivirus antes de descargar este archivo de prueba, si no, verá algo parecido a:
Cambiamos a la línea de comandos y copiamos el pseudovirus descargado a un archivo.
Entramos en el administrador de archivos para asegurarnos de que el tamaño del archivo no cambió:
Y solicitamos escanear el archivo:
Así se puede ocultar al usuario algún objeto importante.
¡Atención!
- Realice las pruebas en los equipos desactivados de la red local.
- No olvide activar el escaneo antivirus una vez finalizadas las pruebas.
Porque pueden pasar varias cosas…
El mundo de antivirus recomienda
El antivirus Dr.Web encuentra los archivos nocivos, dondequiera que estén escondidos los mismos. Pero los usuarios no deben pensar que conocen su propio sistema mejor que los malintencionados y notarán la aparición de un virus sin falta. No deben sobreestimar sus posibilidades y subestimar las de los ciberdelincuentes.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.