# Форум на русском языке  > Новости  > Уязвимости  >  Выполнение произвольного кода при помощи Rar SFX

## Зайцев Олег

Исследуя один ПК, на котором были варварски удалены файлы из папки Windows, я пришел к предположению, что эти пользователи стали жертвой опасной "шуточки" неизвестного "доброжелателя" - я провел изыскание и выяснил, что они открыли SFX архив WinRar. Далее было выявлено следующее:
1. Создается SFX архив с любыми безопасными файлами
2. В доп. настройках SFX в строке "Выполнить после распаковки" задается любой вызов, например "cmd.exe /c del c:\windows /f /q"
В результате после распаковки код селфэкстрактора RAR выполняет заданную командную строку без всякого запроса, уведомления, предупреждения и т.п. ... 
Строка хранится в сжатом (или зашифрованном) виде и в теле exe ее не видно. Ни один антивирус не дает никаких предупреждений на такие архивы. Сам WinRar не проверяет эту строку никак - он просто ее выполняет. Обнаружить это можно, открыв SFX при помощи WinRar - он показывает это в комментарии при открытии SFX из самого WinRar (я нашеэ это именно так). 
Короче говоря, это не эксплоит в чистом виде, но тем не менее идеальный способ выполнить на ПК пользователя любые команды без его ведома.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alexey P.

http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6944&130

 От   : Alexei Zavyalov                     2:5005/106.6    08 ноя 04  20:32:00
 К    : Alexey Podtoptalow                                      08 ноя 04  18:12:08
 Тема : Выполнение произвольного кода при помощи Rar SFX
-1613----------------------------------------------------------------------

[skipped]
 AP>   Обнаружить это можно, открыв SFX при
 AP>   помощи WinRar - он показывает это в комментарии при открытии
 AP>   SFX из самого WinRar (я нашел это именно так).
   Так ты это не во всех случаях определишь.
   Допустим я делаю сдвоенный комментарий для своих коллекций. Первая
половина содержит произвольный текст (описание содержимого архива), а
вторая после спец. символа - команды sfx.
   Таким образом пользователь даже открыв файл в WinRAR и просмотрев
комментарий - не увидит вредоносного кода, т.к. в оболочку (и на вывод в
командной строке) rar выводит только текст ДО этого спец. символа. Также сделано например в самом установочном sfx от WinRAR.

... Елена Пpистpастная
--- Бороздим просторы на Fregate 1.52/W32
 * Origin: Software-это душа компьютера и не надо в неё плевать! (2:5005/106.6)

----------


## Зайцев Олег

Но и это еще не все - мы тут поисследовали RAR (благо есть кому и на чем) на предмет дыр - тут еще одна дыра вскрылась - если задать путь для извлечения SFX равный, скажем, %SystemRoot%\TEMP и сказать в настройках, что перед извлечением необходимо удалить файлы из папки назначения по маске *.* (там есть для этого закладка), то он сотрет *все файлы* в заданной папке *вместе с подкаталогами* без всякого запроса !! (надеюсь, не стоит говорить, что будет, если путь для извлечения бедет C:\  :Sad:  Причем все как и ранее - без запросов, подтверждений, сообщений и т.п. А так как он поддерживает переменные окружения, то опасность возрастает многократно.

----------


## drongo

мда , сфх больше не буду пользоваться .
у меня вопрос : как файл сделаный сфх (1 часть) заразился вирусом , если при создании частей был вставлен пароль . ??? (вирус W32.Pinfi) 
второй вопрос:  файл разделённый раром на много частей простым способом (без sfx )с паролем -подвержены ли они заражению  ?

----------


## pig

Не понял, кто заразился. Архив как EXE (вирус, судя по имени, файловый) или файл в архиве?

----------


## drongo

> Не понял, кто заразился. Архив как EXE (вирус, судя по имени, файловый) или файл в архиве?


я разбил большой файл раром сделав с опцией самораспаковщика (при разбивке поставил пароль) вот этот распаковщик (первая чать -ехе) и заразился .

----------


## pig

В том, что зараза прицепилась к исполняемому коду "головы", ничего нового нет. Вирус видит, что формат EXE, вот и заражает. Сам архив при этом не поломался? Хотя это довольно сложно проверить - "большой" RAR его вряд ли опознает, а запускать заражённый... и ещё как с ним обращается сам распаковщик. После лечения-то хоть восстановился?

----------


## drongo

после лечения всё собралось нормально , вот только хотелось бы быть уверенным что запароленные рары не подвержены заражению . мне думаеться что это так , вот и спрашиваю об этом чтоб убедиться ???

----------


## pig

Если кому-то очень захочется, может и в запароленный архив влезть. Раз ElcomSoft их вскрывает, значит, и другие смогут. Правда, вирус получится размером с RAR. К тому же у вас многотомный архив, это тоже усложняет задачу.

----------


## azza

А вот и ласточки:
hттп://www.konfa.ru/public/dload/filex/1s_version_8.9.00.22.exe (пароль *111*)
hттп://www.konfa.ru/public/dload/filex/ackon_update.exe (пароль *777*)
При самораспаковке замещают boot.ini дерьмом из архива.  :Angry:

----------


## Станислав Лоцманов

> http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6944&130
> 
>  От   : Alexei Zavyalov                     2:5005/106.6    08 ноя 04  20:32:00
>  К    : Alexey Podtoptalow                                      08 ноя 04  18:12:08
>  Тема : Выполнение произвольного кода при помощи Rar SFX
> -1613----------------------------------------------------------------------
> 
> [skipped]
>  AP>   Обнаружить это можно, открыв SFX при
> ...


Я понимаю, много времени прошло, но может быть вы вспомните, что это за спецсимвол? после которого не видны исполняемые комманды?

----------

