Mogucnost inficiranja RAR fajla

Mogucnost inficiranja RAR fajla

offline
  • Rogi  Male
  • Mod u pemziji
  • Najbolji košarkaš koji
  • je ikada igrao ovu igru
  • Pridružio: 31 Avg 2005
  • Poruke: 11687

Da li ce virus, ako je racunar zarazen, inficirati .exe fajlove, ako su spakovani u rar arhivi?
I da li nesto menja stvar ako rar ima sifru?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • pixxel  Male
  • Legendarni građanin
  • Pridružio: 21 Jun 2005
  • Poruke: 9091
  • Gde živiš: Tu i tamo...

Jako tesko, ja jos nisam naisao na takav sllucaj, mada ce ti bobby i ekipa znati bolje objasniti. Ako je exe bio zarazen pre stavljanja u rar, onda naravno da je moguce, a ako je bio cist spakovan u arhivu, mislim da bi to bilo previse posla za virus... Ako stavis sifru, i sifrovanje pride (valjda kod rara to ide djuture), ako virus ne zna sifru, moze da duva u jogurt...



offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Da dopunim ono sto je pixxel vec napisao.

Nije mi poznat virus koji moze da zarazi fajlove u RAR arhivi, a arhivu zasticenu passom ni teoretski ne moze da zarazi.

Postoje neke druge stvari vezane za RAR i viruse, ali to se vec odmice od ovog pitanja (ali cu ipak da odem u offtopic posto nekome ova pricica mozda bude i zanimljiva).
Recimo, ima malwarea koji koristi RAR arhive zasticene passwordom da bi sebe prenelo na drugi racunar, a da pri tome izbegne antiviruse, posto ni AV ne moze da zaviri u RAR zasticen passom.
Bagle crv je to radio u kasnijim verzijama.
Posalje sebe na mail (u RAR-u zasticenim passom) i u poruci posalje sifru za otvaranje arhive. Onda samo jos treba da nadje nekog naivnog koji ce to otvoriti. Posalje recimo nekom mail i kaze mu nesto tipa "e, evo ti ga keygen koji si mi trazio. pass za RAR je '123'".
Neko nasedne, i eto ti muke.
Onda su AV programi poceli da skeniraju poruke i pokusavali da otvore RAR koriscenjem svake reci iz poruke kao eventualnu sifru.
Onda je Bagle ponovo evoluirao, pa je poruke slao kao GIF-ove.
Tu su AV programi stali, posto im treba pravi OCR modul da bi mogli da procitaju poruku sa slike.
Onda se neko dosetio trika - i ako je RAR sifrovan, imena fajlova se mogu procitati. Onda su poceli da alarmiraju cim vide da se u RAR fajlu nalazi neki EXE. Gmail je recimo na svom mail serveru to radio - EXE nije mogao da se prenese ni u RAR fajlu (da ne pricam o ZIP i onim ostalim sa slabijim enkripcijama).
Onda se neki autor malwarea setio da i imena fajlova u RAR arhivi mogu da se kriptuju, i eto muke za koju jos ne postoji resenje.
Ima nekih antivirusa (recimo DrWeb) koji pokusavaju brute-force metodama (nagadjanjem) da otvore i ovako zasticene arhive, posto je Bagle crv uvek koristio sifru od 5 brojeva (bez slova i znakova).
Takva sifra se obicno razbije za par minuta na prosecnim racunarima.

Drugi slucaj malwarea i RAR-a je bio sa Zlob infekcijama pre jedno 2 godine, kada je Zlob koristio Inno i NSIS instalere za pakovanje svojih fajlova.
Inno i NSIS su skriptabilni instaleri koji se koriste u celom svetu za pravljenje instalacija za programe (i ja koristim Inno).
Neki autor malwarea se setio da u Inno ili NSIS instaler strpa zasticeni RAR, plus UnRAR.exe (legitiman program za raspakovanje RAR arhiva, produkt iste firme koja pravi i WinRAR), i da napisu takvu skriptu za Inno ili NSIS koja ce na disk izbaciti UnRAR i zasticeni RAR, i onda UnRAR-u proslediti komandu da raspakuje onaj RAR, pri cemu UnRAR-u prosledi i sifru za raspakovanje.
Prilicno je vremena proslo dok u AV kompanijama nisu skontali sta se desava, pa sada AV programi alarmiraju cim vide da neki instaler sadrzi UnRAR i neku RAR arhivu (ne muce se da raspakuju arhivu da bi videli ima li virusa, vec odmah pocnu da vriste).

offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

a tek kad provale onu lzma kompresiju Wink

zar ne bi bilo jednostavnije da fajlovi ne mogu da se otvore
na dvoklik uopšte u samom sistemu ?
(i humanije prema programerima)
donekle bi usporili Zagrljaj

offline
  • Rogi  Male
  • Mod u pemziji
  • Najbolji košarkaš koji
  • je ikada igrao ovu igru
  • Pridružio: 31 Avg 2005
  • Poruke: 11687

Hvala vam na odgovorima.

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

bobby ::...
Onda su AV programi poceli da skeniraju poruke i pokusavali da otvore RAR koriscenjem svake reci iz poruke kao eventualnu sifru.
Onda je Bagle ponovo evoluirao, pa je poruke slao kao GIF-ove.
Tu su AV programi stali, posto im treba pravi OCR modul da bi mogli da procitaju poruku sa slike.

Kako je onda Bagle citao reci, tj. lozinku?

offline
  • pixxel  Male
  • Legendarni građanin
  • Pridružio: 21 Jun 2005
  • Poruke: 9091
  • Gde živiš: Tu i tamo...

soxxx ::Kako je onda Bagle citao reci, tj. lozinku?Pa nije beagle citao reci nego ti Smile
recimo da je moj komp zarazen beagleom. On posalje mail recimo tebi u kome imas dva attachmenta - jedan je sam rar fajl, drugi je gif slika na kojoj pise sifra za otpakivanje je 51436. Ti vidis sliku i skoro i ne sumnjas da je u pitanju obican tekst, otvoris rar, iskoristis sifru i startujes program sa beagleom... Dakle, ljudska interakcija (u prevodu glupost) je ono sto odrzava viruse. Da im ne trebaju ljudi (posredno ili neposredno) za sirenje po racunarima, sada ne bi bilo interneta...

offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Ah, zivinjavam se, citao sam malo nabrzinu pa sam povezao dve stvari; mislio sam da se Bagle sam odpakivao sifrom iz .gif fajla (nesto sam u svojoj glavi povezao sa zadnjim pasusom).

Ko je trenutno na forumu
 

Ukupno su 1097 korisnika na forumu :: 49 registrovanih, 6 sakrivenih i 1042 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: airsuba, ArchaBasha, babaroga, Ben Roj, bokisha253, Denaya, dolinalima, Draganeli, FileFinder, Fog of War, goxin, ILGromovnik, Ilija Cvorovic, ivan1973, Karla, kolle.the.kid, Kubovac, kybonacci, ladro, madza, maiden6657, menges, Mi lao shu, mile09, milenko crazy north, Milicija Krajine, MiroslavD, Nemanja.M, nenad81, Neutral-M, nextyamb, nikoladim, pein, Pohovani_00, prashinar, predragc, raykan, Romibrat, royst33, sasa87, Sićko, Toper, USSVoyager, virked, Vlad000, wizzardone, zastavnik, zdrebac, zziko