Внимание!!! Гость. Большинство разделов форума предназначены для зарегистрированных участников, поэтому ув. Гость, лучше бы тебе зарегистрироваться :). Тем более, что регистрация займет у тебя не более 1 минуты, зато существенно расширит твои права и возможности на этом форуме

(i)

Новостей.COM - ежедневные новости различной тематики
  Ответить Новая тема Создать опрос

> Вирусы в .rar-файле остановить невозможно
Mitos   (i)
Дата 22.02.2005 - 21:51
Чемпион по: Moon Lander 
Иной. Темный. Инквизитор
******
Пользователя сейчас нет на форуме Детально о участнике
Иллюватор
Репутация: 161 голосов

(Знак Зодиака: Sagittarius)
Пригласил(а): 32
Kполезности = 34.57
Флудометр: 0.29% флуда
Вирусы в .rar-файле остановить невозможно

Как сообщает газета eWeek, вирусописатели снова переиграли производителей антивирусов и ИТ-администраторов. Речь идет о зараженных почтовых сообщениях с прикрепленными .rar архивами.

Rar формат известен как альтернатива zip-компрессии. Он гораздо лучше справляется с файлами больших размеров (музыка, видео).

По словам экспертов, зараженные .rar файлы проходят незамеченными через фильтры коммерческих антивирусных программ и попадают прямо в почтовые ящики пользователей, которые очень часто даже не знают о таком формате. Администраторы, видевшие .rar-запакованный malware говорят, что ни одного сообщения об обнаружении вируса от их антивирусной защиты не последовало.

Большинство сообщений в .rar файлах призывают посетить порносайты, что и стало причиной успешного заражения компьютеров, говорят эксперты. В архиве как правило находится исполняемый файл с двойным расширением, типа "foto.jpg.exe". Сами по себе вирусы чеще всего являются "инсталяшкой" для трояна.



--------------------
  PM WWW ICQ  
Top  
KRSort   (i)
Дата 26.02.2005 - 01:20
***
Пользователя сейчас нет на форуме Детально о участнике
Злобный дух
Раса: Нежить
Репутация: 4 голосов

(Знак Зодиака: Sagittarius)
Пригласил(а): 1
Kполезности = 0.00
Флудометр: 0% флуда
И еще немного о RAR...

Исследуя один ПК, на котором были варварски удалены файлы из папки Windows, я пришел к предположению, что эти пользователи стали жертвой опасной "шуточки" неизвестного "доброжелателя" - я провел изыскание и выяснил, что они открыли SFX архив WinRar. Далее было выявлено следующее:
1. Создается SFX архив с любыми безопасными файлами
2. В доп. настройках SFX в строке "Выполнить после распаковки" задается любой вызов, например "cmd.exe /c del c:\windows /f /q"
В результате после распаковки код селфэкстрактора RAR выполняет заданную командную строку без всякого запроса, уведомления, предупреждения и т.п. ...
Строка хранится в сжатом (или зашифрованном) виде и в теле exe ее не видно. Ни один антивирус не дает никаких предупреждений на такие архивы. Сам WinRar не проверяет эту строку никак - он просто ее выполняет. Обнаружить это можно, открыв SFX при помощи WinRar - он показывает это в комментарии при открытии SFX из самого WinRar (я нашеэ это именно так).
Короче говоря, это не эксплоит в чистом виде, но тем не менее идеальный способ выполнить на ПК пользователя любые команды без его ведома.

Но и это еще не все - мы тут поисследовали RAR (благо есть кому и на чем) на предмет дыр - тут еще одна дыра вскрылась - если задать путь для извлечения SFX равный, скажем, %SystemRoot%\TEMP и сказать в настройках, что перед извлечением необходимо удалить файлы из папки назначения по маске *.* (там есть для этого закладка), то он сотрет все файлы в заданной папке вместе с подкаталогами без всякого запроса !! (надеюсь, не стоит говорить, что будет, если путь для извлечения бедет C:\ Причем все как и ранее - без запросов, подтверждений, сообщений и т.п. А так как он поддерживает переменные окружения, то опасность возрастает многократно.

Это я нашел тута: http://virusinfo.info/index.php?board=23;a...ay;threadid=201

Так что теперь самораспаковывающимися архивами я не пользуюсь (если конечно их сам не делаю)


--------------------
  PM e-mail ICQ  
Top  
Ingvar   (i)
Дата 26.02.2005 - 02:21
RockstaЯ
*****
Пользователя сейчас нет на форуме Детально о участнике
Олигарх
Репутация: 148 голосов

(Знак Зодиака: Cancer)
Пригласил(а): 4
Приглашен(а): Mitos
Kполезности = 1.00
Флудометр: 0.42% флуда
2KRSort
2Mitos
Цитата
если путь для извлечения будет C:\

Ни *** себе прикольчики
blink.gif cranky.gif


--------------------

  PM e-mail ICQ  
Top  
RosT   (i)
Дата 26.02.2005 - 05:37
use SOAP
******
Пользователя сейчас нет на форуме Детально о участнике
Ангмарский Король
Раса: Нежить
Репутация: 79 голосов

(Знак Зодиака: Gemini)
Пригласил(а): 18
Приглашен(а): Allter-Ego
Kполезности = 3.01
Флудометр: 1.14% флуда Форумные должности: представитель Игровой гильдии форума
А люди головы ломают, создаваю умные вирусы. А он вот сдесь, под самым носом. Вообще Виндовс - это уже один большой и противный вирус))


--------------------
3souls.net/forum/RosT.gif

¬осподин админ, ¬де я мо¬у узнать, почему буква "¬" переворачивается?
  PM e-mail WWW ICQ  
Top  
Allter-Ego   (i)
Дата 4.03.2005 - 04:25
Бывший [email protected]
*****
Пользователя сейчас нет на форуме Детально о участнике
Король мёртвых клятвопреступников
Раса: Нежить
Репутация: 50 голосов

(Знак Зодиака: Leo)
Пригласил(а): 29
Kполезности = 1.16
Флудометр: 0.86% флуда Должность: ИконкоТворец
2RosT
Ох блин какие все умные, Винда говно, Билл сакс...че ж ты ее юзаешь?
Ставь линухо-образную ось и вперед!


--------------------
metric.rodim.ru/a1_h9_2_2_2005_2_1a.gif
I tried so hard
And got so far
But in the end
It doesn't even matter
I had to fall
To lose it all
But in the end
It doesn't even matter

metric.rodim.ru/w12_w10_9_11_2006_2_9w.gif
  PM e-mail ICQ  
Top  

Опции темы Ответить Новая тема Создать опрос