информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Вирус в AVI! 26.06.01 19:04  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Попалась мне недавно AVI`шка... И что странно - в самом начале фаила стоят какие-то bootdir=c:\windows и т.п... Полному дебилу ясно, что такого в НОРМАЛЬНОЙ AVI`шке быть не должно ;-))..

Собственно вопрос - кто-нить знает как сабжевый вирус работает и с чем его едят (т.е. почему это вдруг в AVI можно запихать исполняемый фаил)?

P.S. Многие антивири этот вирус уже научились ловить...

P.P.S. Вирус имеет несколько названий Serbian-Badman.Trojan, Downloader и Serbian.Trojan...
А после avi там в имени никаких козябров не написано? 27.06.01 04:22  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
0
См. внутрь.. 27.06.01 13:12  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ну за кого ты меня принимаешь ;-))!?!?!

В чем весь и прикол - это нормальный AVI фаил, его даже смотреть можно... НО!!!! При просмотре фаила каким-то образом исполняеться вложеный в фаил исполняемый код, который может сделать все, что угодно... Я свой фаил не запускал, так что не знаю, что произойдет... Говорят, он что-то из Инета выкачает и запустит у меня на тачке...


Вот тебе начало фаила -

RIFFф
G AVI LIST+ hdrlavih8 k _    4" Ё ¦
LIST¦ strlstrh@ vidsiv50 k @B¤  4 §
strf( ( Ё ¦   IV50d strd0 xV4 
LISTЖ strlstrh@ auds  
+  '  strf2   +   Ї   _ + @
Ё ¦0_И_JUNK> ROMPT=$p$g winbootdir=C:\WINDOWS COMSPEC=C:\WINDOWS\COMMAND
COM MIDI=SYNTH:1 MAP:E MODaў+!с3И&' !Ф¦ё+ P-{h-iи -ИПМeЙm_йзf¦;_рь¦йЩЬP-
++ЮУ-Pu2-+¦+Яpl#С 3л+°+ П¦¦ku+%#_)+'/fOЬа+Ы+~\
_C"-ЁА¦СЭ"¦гС|ц9+ /_k+
iР ЇWz2+d6Ю¦.UяYПx.¶+%8и¦рЦыGD+Ё
¦зУ]Лёж+УН¦ 9-bZоКuО~0ПЬ#=гяё_¦G?+kfдЭ¦+-#Jo+уП+_Е_}+г•с+_sN&-Г¦+_•r4
-p"CИ
СsВ_ю Р"VTцЯ¦CЯ_:_{Щ+¦+dПё_ @{¦ ЙDv+xrx_В__¦-Ы;4ЙjdФЪD-! чvS
q_п_¤-+ р+Ъ?rЯ]ф+&-8+^-У№z зЬОFЖ=x+$MSЦИ++ng!+ч81IRщ]dTJь}-jЫ+¦эї Aю{Р


Как это работает и почему так происходит - я не знаю... Может данный фаил и не содержит вирус, но тогда не понятен смысл строк "ROMPT=$p$g winbootdir=C:\WINDOWS COMSPEC=C:\WINDOWS\COMMAND
COM MIDI=SYNTH:1 MAP:E MOD"...
См. внутрь.. 27.06.01 18:38  
Автор: NiFi... <NiFiGaSebe!> Статус: Member
<"чистая" ссылка>
A ne mog bi ti prislat mne polnostju file na web@uinc.ru?

> Ну за кого ты меня принимаешь ;-))!?!?!
>
> В чем весь и прикол - это нормальный AVI фаил, его даже
> смотреть можно... НО!!!! При просмотре фаила каким-то
> образом исполняеться вложеный в фаил исполняемый код,
> который может сделать все, что угодно... Я свой фаил не
> запускал, так что не знаю, что произойдет... Говорят, он
> что-то из Инета выкачает и запустит у меня на тачке...
>
>
> Вот тебе начало фаила -
>
> RIFFф
> G AVI LIST+ hdrlavih8 k _  
 4" Ё
> ¦
> LIST¦ strlstrh@ vidsiv50 k @B¤  4
> §
> strf( ( Ё ¦   IV50d strd0
> xV4 
> LISTЖ strlstrh@ auds
>
 
> +  '  strf2   +  
> Ї   _ + @
> Ё ¦0_И_JUNK> ROMPT=$p$g winbootdir=C:\WINDOWS
> COMSPEC=C:\WINDOWS\COMMAND
> COM MIDI=SYNTH:1 MAP:E MODaў+!с3И&'
!Ф¦ё+ P-{h-iи
> -ИПМeЙm_йзf¦;_рь¦йЩЬP-
> ++ЮУ-Pu2-+¦+Яpl#С 3л+°+
П¦¦ku+%#_)+'/fOЬа+Ы+~\
> _C"-ЁА¦СЭ"¦гС|ц9+ /_k+
> iР ЇWz2+d6Ю¦.UяYПx.¶+%8и¦рЦыGD+Ё
> ¦зУ]Лёж+УН¦
> 9-bZоКuО~0ПЬ#=гяё_¦G?+kfдЭ¦+-#Jo+уП+_Е_}+г•с+_sN&-Г
> ¦+_•r4
>-p"CИСsВ_ю Р"VTцЯ¦CЯ_:_{Щ+¦+dПё_
> @{¦
ЙDv+xrx_В__¦-Ы;4ЙjdФЪD-! чvS
> q_п_¤-+
р+Ъ?rЯ]ф+&-8+^-У№z
> зЬОFЖ=x+$MSЦИ++ng!+ч81IRщ]dTJь}-jЫ+¦эї Aю{Р
>
>
> Как это работает и почему так происходит - я не знаю...
> Может данный фаил и не содержит вирус, но тогда не понятен
> смысл строк "ROMPT=$p$g winbootdir=C:\WINDOWS
> COMSPEC=C:\WINDOWS\COMMAND
> COM MIDI=SYNTH:1 MAP:E MOD"...
Est takaia util riffwalk.exe v SDK win95 27.06.01 22:32  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
Est takaia util riffwalk.exe v SDK win95

Ona to sve i pokazhet
A potochnee??? 28.06.01 18:42  
Автор: NiFi... <NiFiGaSebe!> Статус: Member
<"чистая" ссылка>
> Est takaia util riffwalk.exe v SDK win95
>
> Ona to sve i pokazhet
potochnee ne podskazhesh?...
a to ja zaebsi iskat entot file v sdk raznix...
Поточнее (внутри) 28.06.01 20:12  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
Platform SDK

RIFF Walk
Windows 95/98

The RIFF Walk tool (RIFFWALK.EXE) "walks" the structure of a RIFF file and displays the RIFF chunks contained in the file. It can verify the structure of .AVI and .WAV files.

The following is the command-line syntax for RIFF Walk:

riffwalk [-dx] [-fx] [-j] [-m] [-x] RiffFile
-d x
Specifies the maximum depth to descend.
-f x
Specifies the level of detail to use when expanding chunks.
-j
Indicates that "junk" chunks should be listed.
-m
Expand .AVI "movi" LIST chunks.
-x
Provide a hex dump of chunks that are not expanded.
RiffFile
Specifies the RIFF file.
Не понял? (см внутрь)... 28.06.01 23:19  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Это все, конечно, хорошо... Но, насколько я понял, эта прога только анализирует AVI фаил! А как испоняемый код внутрь засунуть то?

> Platform SDK
>
> RIFF Walk
> Windows 95/98
>
> The RIFF Walk tool (RIFFWALK.EXE) "walks" the structure of
> a RIFF file and displays the RIFF chunks contained in the
> file. It can verify the structure of .AVI and .WAV files.
>
> The following is the command-line syntax for RIFF Walk:
>
> riffwalk [-dx] [-fx] [-j] [-m] [-x] RiffFile
> -d x
> Specifies the maximum depth to descend.
> -f x
> Specifies the level of detail to use when expanding chunks.
> -j
> Indicates that "junk" chunks should be listed.
> -m
> Expand .AVI "movi" LIST chunks.
> -x
> Provide a hex dump of chunks that are not expanded.
> RiffFile
> Specifies the RIFF file.
Не понял? (см внутрь)... 28.06.01 23:27  
Автор: NiFi... <NiFiGaSebe!> Статус: Member
<"чистая" ссылка>
> Это все, конечно, хорошо... Но, насколько я понял, эта
> прога только анализирует AVI фаил! А как испоняемый код
> внутрь засунуть то?
По моему, я тебе уже говорил свое мнение, на всякий случай повторюсь:
для начала необходимо проанализировать зараженные файлы, где и поможет эта программа, а вот потом уже оттудовать нада начинать рыть, основываясь на результатах исследований.
В асе тебя чего-то нету....
Не понял? (см внутрь)... 29.06.01 12:25  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> По моему, я тебе уже говорил свое мнение, на всякий случай
> повторюсь:
> для начала необходимо проанализировать зараженные файлы,
> где и поможет эта программа, а вот потом уже оттудовать
> нада начинать рыть, основываясь на результатах
> исследований.
> В асе тебя чего-то нету....

Насчет анализа - тут ты прав...

В асе я есть, но не всегда...
Ты меня не понял... 28.06.01 23:15  
Автор: NiFi... <NiFiGaSebe!> Статус: Member
<"чистая" ссылка>
Нафига мне это если я ссылку дал, там это указано?????????
Мне было интересно совсем другое, подробности того, на каком диске можно найти этот файл...
Дело в том, что у меня MSDN есть, при чем все старые штуки, SDK, DDK, итд ....все это есть, вот только за@#ался я в таком количестве компактов нужный искать....

> Platform SDK
>
> RIFF Walk
> Windows 95/98
>
> The RIFF Walk tool (RIFFWALK.EXE) "walks" the structure of
> a RIFF file and displays the RIFF chunks contained in the
> file. It can verify the structure of .AVI and .WAV files.
>
> The following is the command-line syntax for RIFF Walk:
>
> riffwalk [-dx] [-fx] [-j] [-m] [-x] RiffFile
> -d x
> Specifies the maximum depth to descend.
> -f x
> Specifies the level of detail to use when expanding chunks.
> -j
> Indicates that "junk" chunks should be listed.
> -m
> Expand .AVI "movi" LIST chunks.
> -x
> Provide a hex dump of chunks that are not expanded.
> RiffFile
> Specifies the RIFF file.
Est takaia util riffwalk.exe v SDK win95 27.06.01 23:42  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Est takaia util riffwalk.exe v SDK win95
>
> Ona to sve i pokazhet

Нихрена не понял... Что эта прога то делает?
A nazvanie tebe ni ochem ne govorit? 28.06.01 00:35  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
Ssilochka... 28.06.01 19:37  
Автор: NiFi... <NiFiGaSebe!> Статус: Member
<"чистая" ссылка>
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/tools/hh/tools/mmtls_3uqz.asp

Ja vse eshe ishu sam Binarik. Xotjabi Nomer diska, god i mesjac, iz SDK.
Внутри 28.06.01 21:03  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> http://msdn.microsoft.com/library/default.asp?url=/library/
> en-us/tools/hh/tools/mmtls_3uqz.asp
>
> Ja vse eshe ishu sam Binarik. Xotjabi Nomer diska, god i
> mesjac, iz SDK.
Я там тоже все облазал, но нет там бинарников
У меня в vis. stud. тоже не нашлось, видимо в очень старых искать надо...
В этой ссылке есть линки на несколько ftp и более подробная инфа, но лазать я зае-ался,
ясно что это не вирь...

http://www.oreilly.com/centers/gff/formats/micriff/
Честно говоря нет... О такой проге нихрена не слышал... Что она делает-то? 28.06.01 14:25  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
аа
Davai email kinu progu. esli interesut konechno. 28.06.01 23:07  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
Voobcheto kogda ustanofish SDK i directorii:

c:\Program Files\Microsoft Platform SDK\Bin\Win95

lezhit eta proga.
Vsem Komu nuzhen RiffWalk... 29.06.01 13:13  
Автор: NiFi... <NiFiGaSebe!> Статус: Member
<"чистая" ссылка>
Skachat mozhno zdes:
http://www.uinc.ru/files/Riff_Stuff.zip
Tam v arxive eshe est
RIFFADD:
This is an utility that can be used to add text information
or Bitmaps to RIFF files.

====================================
> Voobcheto kogda ustanofish SDK i directorii:
>
> c:\Program Files\Microsoft Platform SDK\Bin\Win95
>
> lezhit eta proga.
Спасибо (-)!!! 29.06.01 13:49  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Интересует... 28.06.01 23:14  
Автор: Stas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Voobcheto kogda ustanofish SDK i directorii:
>
> c:\Program Files\Microsoft Platform SDK\Bin\Win95
>
> lezhit eta proga.

На asfiles@nm.ru кинь плз...
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach