Poslao: 18 Jun 2009 21:46
|
offline
- Rogi
- Mod u pemziji
- Najbolji košarkaš koji
- je ikada igrao ovu igru
- Pridružio: 31 Avg 2005
- Poruke: 11687
|
Da li ce virus, ako je racunar zarazen, inficirati .exe fajlove, ako su spakovani u rar arhivi?
I da li nesto menja stvar ako rar ima sifru?
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
Poslao: 18 Jun 2009 22:21
|
offline
- pixxel
- Legendarni građanin
- Pridružio: 21 Jun 2005
- Poruke: 9091
- Gde živiš: Tu i tamo...
|
Jako tesko, ja jos nisam naisao na takav sllucaj, mada ce ti bobby i ekipa znati bolje objasniti. Ako je exe bio zarazen pre stavljanja u rar, onda naravno da je moguce, a ako je bio cist spakovan u arhivu, mislim da bi to bilo previse posla za virus... Ako stavis sifru, i sifrovanje pride (valjda kod rara to ide djuture), ako virus ne zna sifru, moze da duva u jogurt...
|
|
|
|
Poslao: 18 Jun 2009 23:54
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Da dopunim ono sto je pixxel vec napisao.
Nije mi poznat virus koji moze da zarazi fajlove u RAR arhivi, a arhivu zasticenu passom ni teoretski ne moze da zarazi.
Postoje neke druge stvari vezane za RAR i viruse, ali to se vec odmice od ovog pitanja (ali cu ipak da odem u offtopic posto nekome ova pricica mozda bude i zanimljiva).
Recimo, ima malwarea koji koristi RAR arhive zasticene passwordom da bi sebe prenelo na drugi racunar, a da pri tome izbegne antiviruse, posto ni AV ne moze da zaviri u RAR zasticen passom.
Bagle crv je to radio u kasnijim verzijama.
Posalje sebe na mail (u RAR-u zasticenim passom) i u poruci posalje sifru za otvaranje arhive. Onda samo jos treba da nadje nekog naivnog koji ce to otvoriti. Posalje recimo nekom mail i kaze mu nesto tipa "e, evo ti ga keygen koji si mi trazio. pass za RAR je '123'".
Neko nasedne, i eto ti muke.
Onda su AV programi poceli da skeniraju poruke i pokusavali da otvore RAR koriscenjem svake reci iz poruke kao eventualnu sifru.
Onda je Bagle ponovo evoluirao, pa je poruke slao kao GIF-ove.
Tu su AV programi stali, posto im treba pravi OCR modul da bi mogli da procitaju poruku sa slike.
Onda se neko dosetio trika - i ako je RAR sifrovan, imena fajlova se mogu procitati. Onda su poceli da alarmiraju cim vide da se u RAR fajlu nalazi neki EXE. Gmail je recimo na svom mail serveru to radio - EXE nije mogao da se prenese ni u RAR fajlu (da ne pricam o ZIP i onim ostalim sa slabijim enkripcijama).
Onda se neki autor malwarea setio da i imena fajlova u RAR arhivi mogu da se kriptuju, i eto muke za koju jos ne postoji resenje.
Ima nekih antivirusa (recimo DrWeb) koji pokusavaju brute-force metodama (nagadjanjem) da otvore i ovako zasticene arhive, posto je Bagle crv uvek koristio sifru od 5 brojeva (bez slova i znakova).
Takva sifra se obicno razbije za par minuta na prosecnim racunarima.
Drugi slucaj malwarea i RAR-a je bio sa Zlob infekcijama pre jedno 2 godine, kada je Zlob koristio Inno i NSIS instalere za pakovanje svojih fajlova.
Inno i NSIS su skriptabilni instaleri koji se koriste u celom svetu za pravljenje instalacija za programe (i ja koristim Inno).
Neki autor malwarea se setio da u Inno ili NSIS instaler strpa zasticeni RAR, plus UnRAR.exe (legitiman program za raspakovanje RAR arhiva, produkt iste firme koja pravi i WinRAR), i da napisu takvu skriptu za Inno ili NSIS koja ce na disk izbaciti UnRAR i zasticeni RAR, i onda UnRAR-u proslediti komandu da raspakuje onaj RAR, pri cemu UnRAR-u prosledi i sifru za raspakovanje.
Prilicno je vremena proslo dok u AV kompanijama nisu skontali sta se desava, pa sada AV programi alarmiraju cim vide da neki instaler sadrzi UnRAR i neku RAR arhivu (ne muce se da raspakuju arhivu da bi videli ima li virusa, vec odmah pocnu da vriste).
|
|
|
|
|
Poslao: 19 Jun 2009 01:34
|
offline
- Rogi
- Mod u pemziji
- Najbolji košarkaš koji
- je ikada igrao ovu igru
- Pridružio: 31 Avg 2005
- Poruke: 11687
|
Hvala vam na odgovorima.
|
|
|
|
Poslao: 19 Jun 2009 09:24
|
offline
- Pridružio: 25 Maj 2005
- Poruke: 1482
- Gde živiš: Gracanica, Kosovo
|
bobby ::...
Onda su AV programi poceli da skeniraju poruke i pokusavali da otvore RAR koriscenjem svake reci iz poruke kao eventualnu sifru.
Onda je Bagle ponovo evoluirao, pa je poruke slao kao GIF-ove.
Tu su AV programi stali, posto im treba pravi OCR modul da bi mogli da procitaju poruku sa slike.
Kako je onda Bagle citao reci, tj. lozinku?
|
|
|
|
Poslao: 19 Jun 2009 10:42
|
offline
- pixxel
- Legendarni građanin
- Pridružio: 21 Jun 2005
- Poruke: 9091
- Gde živiš: Tu i tamo...
|
soxxx ::Kako je onda Bagle citao reci, tj. lozinku?Pa nije beagle citao reci nego ti
recimo da je moj komp zarazen beagleom. On posalje mail recimo tebi u kome imas dva attachmenta - jedan je sam rar fajl, drugi je gif slika na kojoj pise sifra za otpakivanje je 51436. Ti vidis sliku i skoro i ne sumnjas da je u pitanju obican tekst, otvoris rar, iskoristis sifru i startujes program sa beagleom... Dakle, ljudska interakcija (u prevodu glupost) je ono sto odrzava viruse. Da im ne trebaju ljudi (posredno ili neposredno) za sirenje po racunarima, sada ne bi bilo interneta...
|
|
|
|
Poslao: 19 Jun 2009 12:44
|
offline
- Pridružio: 25 Maj 2005
- Poruke: 1482
- Gde živiš: Gracanica, Kosovo
|
Ah, zivinjavam se, citao sam malo nabrzinu pa sam povezao dve stvari; mislio sam da se Bagle sam odpakivao sifrom iz .gif fajla (nesto sam u svojoj glavi povezao sa zadnjim pasusom).
|
|
|
|