lunes, 23 de enero de 2006

Antivirus de Symantec, Kaspersky y "rootkits" | KRIPT�POLIS

Seguridad
Antivirus, Rootkit
Fuente: kritopolis
Origen: news.google.es >> antivirus @ español >> rank 2ª

(...)
En el caso concreto de Kaspersky Anti-Virus Personal 5 (y Personal Pro) -que es uno de los que yo uso- este programa utiliza una tecnología denominada iStreams. Esta tecnología permite almacenar información en "flujos alternativos", en el sistema de ficheros NTFS. Parece ser que estos "flujos" de datos no son visibles desde la API convencional de NTFS (y por tanto el usuario no puede detectarlos y mucho menos eliminarlos) y para poder acceder a ellos se necesitan herramientas especiales, y siempre que el antivirus no esté funcionando.

Según el fabricante, en estos "flujos" se almacenan los checksums de los ficheros ya analizados, de forma que los análisis posteriores puedan realizarse más rápidamente.
(...)
En el caso de que esta tecnología pudiera estar comprometida, podría utilizarse maliciosamente para alterar las firmas de comprobación (checksums) y evitar que ficheros recientemente infectados pudieran volver a analizarse. Aparte del espacio en disco adicional que indudablemente debe ocupar (los datos serán ocultos, pero no de tamaño nulo), y de otras posibles incompatibilidades que presenta con terceros programas.

No hay comentarios: