Archivos autogenerado que coinciden con la definición de virus

Archivos autogenerado que coinciden con la definición de virus.

El uso de aplicaciones que generan archivos de documentos a partir de información tomada de un portal o interfaz web es amplio y creciente.

Estos archivos tienden a ser muy susceptibles a falsos desencadenantes positivos y más a menudo colisiones de firmas. Esto se debe a que la aplicación rara vez limpia la configuración no utilizada del portal y vuelca todos los datos adicionales en el documento. No es visible cuando un lector de documentos lo abre o lo ve. Pero cuando el archivo se abre en un editor de texto básico, los datos adicionales son claramente visibles.

PDF

% PDF-1 .4 Sharp Scanned ImagePDF
%Sharp Non-Encryption
3 0 obj

/Type
/Page /Parent 1 0 R
/Resources 4 0 R
/Contents 5 0 R
/MediaBox [0 0 613.440 792.000]
>>
endobj
4 0 obj /ProcSet [/ /ImageB] /XObject >> endobj 4 0 obj

/ProcSet [/ PDF /ImageB]
/XObject < /Img1 6 0 R >> >> >>

endobj
5 0 obj

/Filter /FlateDecode
/Length 36
>> stream

xœ334Ö311P AsK#=###;9—Kß37ÝPÁ%# x×#k

endstream endobj
6 0 obj

/Type /XObject
/Subtype
/Image /Name /Img1
/Filtro /CCITTFaxDecode
/DecodeParms < / K -1 /Columns 1704 /Rows 2200 >>
/Width 1704
/Height 2200
/BitsPerComponent 1
/ColorSpace /DeviceGray
/Length 7 0 R
>> stream

þX#ḥ'×úßḥḥḥḥḥ?ḥḥḥḥḥḥḥḥḥḥḥḥḥòØ:ãḥü¶ D # ÌÔ ̧ Aù#Ìf¶ O #flƒGg]##3/4#a <&|h—#ù=Iq#sãô#×EÃFv##í#Úi„#t’,wÒ#ê¡:#6°ƒi# FÆ "l£cḤŠú#?óÎ ¢ùÌ&™"—ðD}.žºnž1/4 R ... úÂ#ˆ†... Ûû¥ïÛÿûÿç·s97ÉŽ±Òß× Ç ##ëHºOTÂpÓZøïú× Ü �æ#ýGÿñ ké#'ZÌᥥüðúþ'#ö? #HÙ0ÂT#,%ï#'#Ð_¿ � A 'c# Õ # Ì 'x"ž�Ÿý&ÈëÊ/ I #'# Ê }¡##\ ËP ¯_øg€� X ¯^' A $5MW2@b××ÿ£ßúM¤' H $ Ž %• É .#Šv?úõ6Øa-mpE <#OJñ¬úáC#ýÿâØ­# ÅG #"Õ1\|( á•š×מh5á ̄ Òjï...######## D #¢4 < ÄDJ ?¢# "r›@ezè ḥ.......

% PDF-1 .6

103 0 obj

hÞ"";k#1#... ḥÊ)""ŒîCÒ# Œ »@ À 【Yv *¤XÌà&xͲ øßçÌÜu"&× Õ #¤£ O ' Ž #- ́# T ' ÊPX ›¡##N91/4*'  •ÓõXé ̈ •# K .*èÅa'î $ôyÀ3? Í1÷
«#2# Ñ ̧ Y 【" ÂÑ ™é##aö#Wˆr#7fã±#b¥ñ\ L #ànbCáä9· JœÇã" T ^ª' W ›£'×JÇÍÍt·^¹'?íŽçåùòp^#Èøgä~ùs¹[^! Óþôkùv|# Ï ¾ V #^_–ép9ÿ~ÜzûÓér{» R p7# Ö ' Ü " <¢ F ´ˆ#1Gl{¯ O ¸ EP ,(### Š # Å 'bAP <(### Š #ŃâP <(#”#”ºQ~ N ; ÈÖš#Óay1/4 Þ #eúz|~úðùþÓ÷ÃGvÞ^õ ~-ï®MI75Ý'tÓÓÍšn¶t³§›sº9ò/ḥ#IyK '×$yO'#%ḥ7õEÞºyW'—%y['× ¥]úŽḤ* ̄ Kóº4 ̄ Kó?–æmiÞ–æmiÞ–¥lý#' ¡ HD

endstream

hÞ$ Ì ±

endstream

hÞ <‹ Ë
Â0# E å.+# I ¡‹# J @#WBEú#±Œt #™þ½AÁÝáÞsFXL#& Ì ³9çš#½¹°#m« ÅÝ \ý#×÷‹ÌR5p¢â\#Nèí÷ºy¡– Ž ?�5P·î\# H •#�4cËéÉ#¡»Wä*ˆ##$ǃs### s(Ë

endstream

hÞtPMkÃ0ý+>n—( ÎWW (†-[ K #c¡ö¡#rpSQ:Ö8Ø#dḥ~r#Øi##? IOOO #'Yž²"#l·ḥç3/47Þ±"£ì# JÓ {ì çÅÔÄQÌÂ+xBq³¥ Ø #^núßj- M
JaÐ# #mン Ž $K ómン #tン #HâÅ ́ä,ß®ß"åOá+#1/4Mþ 1/2ö¡ý#ÚÓμ°§m)§#å'™§#§-ÖrmM'Ñ7P?îAá䡺ë+–-œ>Ï_Ø#nu§cl## QŽ &è°#¤·cç## Ž #Òg## ÔÏ €äìŠBÌFÈFr! R E <*#áývqÍ|Ìö¯ Û À #

endstream

hÞ1/4–ko#9#†ḥÊù#¤ìø~™* B "\6Ñ# E @š•ª~ CÐ ́' †#vp² É ?ßã1I€ḥ"§'80FQ
'\à"#&©#£€))|# Á #d }—ḥ ¤ osPáé£1ç°PRḥAÆzæ6'5,¥[çÙ*¶ Ê ~'/'# Õ ̄ E ##】】± À ̈ FT #t@ëe¤6#Ãñõšン?" Û ' KÀ «Ì3 ̧ ÂbA] G >[ú§ Š ̧#_v#Ïiã=Ne#p#[ ·æ# N ²4êãp#Ḥy· w|û)áæÇÜ,± D #öE <KžÝˆºÖmÅ}^ÞëÛMú¾ ¿¡ÅBæ
$§ I ̧ 1/4
<## Þ ^¥àA× Ý , VËYY '¶f#7' #R

endstream

hÞÔU]o›0#ý+þ##þi¤ I �ö@#¶"%##é´?ß‹m##Yš—i##ƒï½'Çöõ '"0FbN˜ L ##çŒ0Ex* ÓDè"hF$7ƒÉÒT'ÛÛh–5ùCU¶Ñc¾}ËÛb� E #Ëuµ) ÊŸÑ ×¢üP6... ḥ~>ン Úßû <Zš#Ãg#¥ww! Ï }u ̈/4ö,"q#m#=e»#ƒ—Ñx97³j»#g{ÌgÕ; Ù —ˆ¶o—#-ン ÞÜ ],ª] VŽS -ン Å ... š^²ý�¹)_emÓÕ¾dóÕ;d <å¿ PÈ —gÜ£ÏËé"{(ꦽÍjB'mž7ëºØ· UM #�â?e6�+Õk¨#ùÒ‰ ÁBà ¼i_›oqœ� ®(# B #¥# Q ""#5�ÄLr" AL €' L }# Œ #wEƒç‰i#3Ÿ
j.#'ZÇ8ºw×è
÷dèGÒì'‡÷#º"�ú#ä�÷# X = Ú #c'väîˉ#¥ É #n#(ˆ5,]û6psçÜH*qìFìÔ�dpDCÀBÝ S #Ïi1U� Û ¯§ù�) Œ ## ~ûb3š'3£i#3ú# À å#yÅ

endstream

xœ+ T # TÐ #©PpòuVp#b #ン ##

endstream

<?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?>
<x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.6-c017 91.164464, 2020/06/15-10:20:05 ">
<rdf:RDFxmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#">
<rdf:Description rdf:about=""
xmlns:xmp="http://ns.adobe.com/xap/1.0/"
xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/"
xmlns:dc="http://purl.org/dc/elements/1.1/"
xmlns:pdf="http://ns.adobe.com/pdf/1.3/"
xmlns:pdfx="http://ns.adobe.com/pdfx/1.3/"
xmlns:adhocwf="http://ns.adobe.com/AcrobatAdhocWorkflow/1.0/">
<xmp:ModifyDate>2020-09-28T12:23:32-05:00</xmp:ModifyDate>
<xmp:CreateDate>2017-05-04T16:52:12-05:00</xmp:CreateDate>
<xmp:MetadataDate>2020-09-28T12:23:32-05:00</xmp:MetadataDate>
<xmp:CreatorTool>Acrobat PDFMaker 11 for Word</xmp:CreatorTool>
<xmpMM:DocumentID>uuid:16dfb-b3fb-4186-a8db-c6647d7</xmpMM:DocumentID>
<xmpMM:InstanceID>uuid:c658806f-41ac-b6f9-58064eb927</xmpMM:InstanceID>
<xmpMM:subject>
<rdf:Seq>
<rdf:li>7</rdf:li>
</rdf:Seq>
</xmpMM:subject>
<dc:format>application/pdf</dc:format>
<dc:title>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:title>
<dc:description>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:description>
<dc:creator>
<rdf:Seq>
<rdf:li></rdf:li>
</rdf:Seq>
</dc:creator>
<pdf:Producer>Adobe PDF Library 11.0; modificado usando iTextSharp 4.1.6 por 1T3XT</pdf:Producer>
<pdf:Keywords/>
<pdfx:SourceModified> D :20170504215149</pdfx:SourceModified>
<pdfx:Company></pdfx:Company>
<adhocwf:state>1
<adhocwf:version>1.1

RDF
></adhocwf:version> </adhocwf:state></x:xmpmeta>
<?xpacket end="w"?>

endstream

RTF

{\rtf1\adeflang1025\ansi\ansicpg1252\uc1\adeff0\deff0\stshfdbch0\stshfloch0\stshfhich0\stshfbi0\deflang1033\deflangfe1033\themelang1033\themelangfe0\themelangcs0{\fonttbl{\f0\fbidi \froman\fcharset0\fprq2{\*\panose 02020603050405020304}Times New Roman{\*\falt Times New Roman};}

{\f1\fbidi \fswiss\fcharset0\fprq2{\*\panose 020b0604020202020204}Arial{\*\falt Arial};} {\f2\fbidi \fmodern\fcharset0\fprq1{\*\panose 02070309020205020404}Courier New{\*\falt Courier New};}

{\f3\fbidi \froman\fcharset2\fprq2{\*\panose 05050102010706020507}Símbolo{\*\falt Symbol};} {\f10\fbidi \fnil\fcharset2\fprq2{\*\panose 050000000000000000000\Wingdings;} {\f34\fbidi \froman\fcharset0\fprq2{\*\panose 02040503050406030204}Cambria Math;}

{\f37\fbidi \fswiss\fcharset0\fprq2{\*\panose 020f0502020204030204}Calibri;} {\flomajor\f31500\fbidi \froman\fcharset0\fprq2{\*\panose 02020603050405020304}Times New Roman{\*\falt Times New Roman};}

{\fdbmajor\f31501\fbidi \froman\fcharset0\fprq2{\*\panose 02020603050405020304}Times New Roman{\*\falt Times New Roman};} {\fhimajor\f31502\fbidi \froman\fcharset0\fprq2{\*\panose 02040503050406030204}Cambria;}

{\revtim\yr2020\mo3\dy23\hr14\min10}{\printim\yr2003\mo11\dy4\hr13\min29}{\version3}{\edmins3}{\nofpages3}{\nofwords541}{\nofchars3089}{\*\company Alte Co.} {\nofcharsws3623} {\vern87}} {\*\xmlnstbl {\xmlns1 http://schemas.microsoft.com/office/

word/2003/wordml}}\paperw12240\paperh15840\margl576\margr576\margt864\margb576\gutter0\ltrsect

Todos estos datos adicionales y anormales contribuyen a una alta tasa de colisión de falsos positivos y firmas.

La mejor mitigación es hacer que la aplicación firme estos archivos con un certificado digital y que la lista blanca sea el certificado. Puede llevar mucho tiempo conseguir que el desarrollador haga esto, pero es la mitigación más segura.

Muchas aplicaciones que crean documentos extraerán y colocarán los archivos en varios servidores o varios clientes, lo que dificultará la lista blanca de uno u otro. El tráfico de estos archivos generados a veces puede ser dado de alta por la aplicación. La lista blanca de la aplicación es el siguiente modo más seguro y se puede realizar con una regla simple.


Si la aplicación de creación de documentos no se ve en los registros y los documentos se generan a partir de un origen interno y/o se envían a un destino interno, la lista blanca del sencillo común IP es la siguiente mejor solución. Esto se puede lograr con otro tipo de regla.

Tenga en cuenta con cualquiera de estas reglas el y los AV Wildfire perfiles se dejan fuera. Debe desactivar la inspección de estos archivos y AV Wildfire .