Выполнение произвольного кода при помощи Rar SFX

Исследуя один ПК, на котором были варварски удалены файлы из папки Windows, я пришел к предположению, что эти пользователи стали жертвой опасной "шуточки" неизвестного "доброжелателя" - я провел изыскание и выяснил, что они открыли SFX архив WinRar. Далее было выявлено следующее:
1. Создается SFX архив с любыми безопасными файлами
2. В доп. настройках SFX в строке "Выполнить после распаковки" задается любой вызов, например "cmd.exe /c del c:\windows /f /q"
В результате после распаковки код селфэкстрактора RAR выполняет заданную командную строку без всякого запроса, уведомления, предупреждения и т.п. ...
Строка хранится в сжатом (или зашифрованном) виде и в теле exe ее не видно. Ни один антивирус не дает никаких предупреждений на такие архивы. Сам WinRar не проверяет эту строку никак - он просто ее выполняет. Обнаружить это можно, открыв SFX при помощи WinRar - он показывает это в комментарии при открытии SFX из самого WinRar (я нашеэ это именно так).
Короче говоря, это не эксплоит в чистом виде, но тем не менее идеальный способ выполнить на ПК пользователя любые команды без его ведома.

[url]http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6944&130[/url]

От : Alexei Zavyalov 2:5005/106.6 08 ноя 04 20:32:00
К : Alexey Podtoptalow 08 ноя 04 18:12:08
Тема : Выполнение произвольного кода при помощи Rar SFX
-1613----------------------------------------------------------------------

[skipped]
AP> Обнаружить это можно, открыв SFX при
AP> помощи WinRar - он показывает это в комментарии при открытии
AP> SFX из самого WinRar (я нашел это именно так).
Так ты это не во всех случаях определишь.
Допустим я делаю сдвоенный комментарий для своих коллекций. Первая
половина содержит произвольный текст (описание содержимого архива), а
вторая после спец. символа - команды sfx.
Таким образом пользователь даже открыв файл в WinRAR и просмотрев
комментарий - не увидит вредоносного кода, т.к. в оболочку (и на вывод в
командной строке) rar выводит только текст ДО этого спец. символа. Также сделано например в самом установочном sfx от WinRAR.

... Елена Пpистpастная
--- Бороздим просторы на Fregate 1.52/W32
* Origin: Software-это душа компьютера и не надо в неё плевать! (2:5005/106.6)

Но и это еще не все - мы тут поисследовали RAR (благо есть кому и на чем) на предмет дыр - тут еще одна дыра вскрылась - если задать путь для извлечения SFX равный, скажем, %SystemRoot%\TEMP и сказать в настройках, что перед извлечением необходимо удалить файлы из папки назначения по маске *.* (там есть для этого закладка), то он сотрет [b]все файлы[/b] в заданной папке [b]вместе с подкаталогами[/b] без всякого запроса !! (надеюсь, не стоит говорить, что будет, если путь для извлечения бедет C:\ :( Причем все как и ранее - без запросов, подтверждений, сообщений и т.п. А так как он поддерживает переменные окружения, то опасность возрастает многократно.

мда , сфх больше не буду пользоваться .
у меня вопрос : как файл сделаный сфх (1 часть) заразился вирусом , если при создании частей был вставлен пароль . ??? (вирус W32.Pinfi)
второй вопрос: файл разделённый раром на много частей простым способом (без sfx )с паролем -подвержены ли они заражению ?

Не понял, кто заразился. Архив как EXE (вирус, судя по имени, файловый) или файл в архиве?

[QUOTE=pig]
Не понял, кто заразился. Архив как EXE (вирус, судя по имени, файловый) или файл в архиве?
[/QUOTE]
я разбил большой файл раром сделав с опцией самораспаковщика (при разбивке поставил пароль) вот этот распаковщик (первая чать -ехе) и заразился .

В том, что зараза прицепилась к исполняемому коду "головы", ничего нового нет. Вирус видит, что формат EXE, вот и заражает. Сам архив при этом не поломался? Хотя это довольно сложно проверить - "большой" RAR его вряд ли опознает, а запускать заражённый... и ещё как с ним обращается сам распаковщик. После лечения-то хоть восстановился?

после лечения всё собралось нормально , вот только хотелось бы быть уверенным что запароленные рары не подвержены заражению . мне думаеться что это так , вот и спрашиваю об этом чтоб убедиться ???

Если кому-то очень захочется, может и в запароленный архив влезть. Раз ElcomSoft их вскрывает, значит, и другие смогут. Правда, вирус получится размером с RAR. К тому же у вас многотомный архив, это тоже усложняет задачу.

А вот и ласточки:
hттп://www.konfa.ru/public/dload/filex/1s_version_8.9.00.22.exe (пароль [b]111[/b])
hттп://www.konfa.ru/public/dload/filex/ackon_update.exe (пароль [b]777[/b])
При самораспаковке замещают boot.ini дерьмом из архива. >:(

[QUOTE=Alexey P.;36351][url]http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6944&130[/url]

От : Alexei Zavyalov 2:5005/106.6 08 ноя 04 20:32:00
К : Alexey Podtoptalow 08 ноя 04 18:12:08
Тема : Выполнение произвольного кода при помощи Rar SFX
-1613----------------------------------------------------------------------

[skipped]
AP> Обнаружить это можно, открыв SFX при
AP> помощи WinRar - он показывает это в комментарии при открытии
AP> SFX из самого WinRar (я нашел это именно так).
Так ты это не во всех случаях определишь.
Допустим я делаю сдвоенный комментарий для своих коллекций. Первая
половина содержит произвольный текст (описание содержимого архива), а
вторая после спец. символа - команды sfx.
Таким образом пользователь даже открыв файл в WinRAR и просмотрев
комментарий - не увидит вредоносного кода, т.к. в оболочку (и на вывод в
командной строке) rar выводит только текст ДО этого спец. символа. Также сделано например в самом установочном sfx от WinRAR.

... Елена Пpистpастная
--- Бороздим просторы на Fregate 1.52/W32
* Origin: Software-это душа компьютера и не надо в неё плевать! (2:5005/106.6)[/QUOTE]

Я понимаю, много времени прошло, но может быть вы вспомните, что это за спецсимвол? после которого не видны исполняемые комманды?