Показано с 1 по 11 из 11.

Выполнение произвольного кода при помощи Rar SFX

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411

    Выполнение произвольного кода при помощи Rar SFX

    Исследуя один ПК, на котором были варварски удалены файлы из папки Windows, я пришел к предположению, что эти пользователи стали жертвой опасной "шуточки" неизвестного "доброжелателя" - я провел изыскание и выяснил, что они открыли SFX архив WinRar. Далее было выявлено следующее:
    1. Создается SFX архив с любыми безопасными файлами
    2. В доп. настройках SFX в строке "Выполнить после распаковки" задается любой вызов, например "cmd.exe /c del c:\windows /f /q"
    В результате после распаковки код селфэкстрактора RAR выполняет заданную командную строку без всякого запроса, уведомления, предупреждения и т.п. ...
    Строка хранится в сжатом (или зашифрованном) виде и в теле exe ее не видно. Ни один антивирус не дает никаких предупреждений на такие архивы. Сам WinRar не проверяет эту строку никак - он просто ее выполняет. Обнаружить это можно, открыв SFX при помощи WinRar - он показывает это в комментарии при открытии SFX из самого WinRar (я нашеэ это именно так).
    Короче говоря, это не эксплоит в чистом виде, но тем не менее идеальный способ выполнить на ПК пользователя любые команды без его ведома.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763

    Re:Выполнение произвольного кода при помощи Rar SFX

    http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6944&130

    От : Alexei Zavyalov 2:5005/106.6 08 ноя 04 20:32:00
    К : Alexey Podtoptalow 08 ноя 04 18:12:08
    Тема : Выполнение произвольного кода при помощи Rar SFX
    -1613----------------------------------------------------------------------

    [skipped]
    AP> Обнаружить это можно, открыв SFX при
    AP> помощи WinRar - он показывает это в комментарии при открытии
    AP> SFX из самого WinRar (я нашел это именно так).
    Так ты это не во всех случаях определишь.
    Допустим я делаю сдвоенный комментарий для своих коллекций. Первая
    половина содержит произвольный текст (описание содержимого архива), а
    вторая после спец. символа - команды sfx.
    Таким образом пользователь даже открыв файл в WinRAR и просмотрев
    комментарий - не увидит вредоносного кода, т.к. в оболочку (и на вывод в
    командной строке) rar выводит только текст ДО этого спец. символа. Также сделано например в самом установочном sfx от WinRAR.

    ... Елена Пpистpастная
    --- Бороздим просторы на Fregate 1.52/W32
    * Origin: Software-это душа компьютера и не надо в неё плевать! (2:5005/106.6)

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411

    Re:Выполнение произвольного кода при помощи Rar SFX

    Но и это еще не все - мы тут поисследовали RAR (благо есть кому и на чем) на предмет дыр - тут еще одна дыра вскрылась - если задать путь для извлечения SFX равный, скажем, %SystemRoot%\TEMP и сказать в настройках, что перед извлечением необходимо удалить файлы из папки назначения по маске *.* (там есть для этого закладка), то он сотрет все файлы в заданной папке вместе с подкаталогами без всякого запроса !! (надеюсь, не стоит говорить, что будет, если путь для извлечения бедет C:\ Причем все как и ранее - без запросов, подтверждений, сообщений и т.п. А так как он поддерживает переменные окружения, то опасность возрастает многократно.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    Re:Выполнение произвольного кода при помощи Rar SFX

    мда , сфх больше не буду пользоваться .
    у меня вопрос : как файл сделаный сфх (1 часть) заразился вирусом , если при создании частей был вставлен пароль . ??? (вирус W32.Pinfi)
    второй вопрос: файл разделённый раром на много частей простым способом (без sfx )с паролем -подвержены ли они заражению ?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315

    Re:Выполнение произвольного кода при помощи Rar SFX

    Не понял, кто заразился. Архив как EXE (вирус, судя по имени, файловый) или файл в архиве?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    Re:Выполнение произвольного кода при помощи Rar SFX

    Цитата Сообщение от pig
    Не понял, кто заразился. Архив как EXE (вирус, судя по имени, файловый) или файл в архиве?
    я разбил большой файл раром сделав с опцией самораспаковщика (при разбивке поставил пароль) вот этот распаковщик (первая чать -ехе) и заразился .

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315

    Re:Выполнение произвольного кода при помощи Rar SFX

    В том, что зараза прицепилась к исполняемому коду "головы", ничего нового нет. Вирус видит, что формат EXE, вот и заражает. Сам архив при этом не поломался? Хотя это довольно сложно проверить - "большой" RAR его вряд ли опознает, а запускать заражённый... и ещё как с ним обращается сам распаковщик. После лечения-то хоть восстановился?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    Re:Выполнение произвольного кода при помощи Rar SFX

    после лечения всё собралось нормально , вот только хотелось бы быть уверенным что запароленные рары не подвержены заражению . мне думаеться что это так , вот и спрашиваю об этом чтоб убедиться ???

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315

    Re:Выполнение произвольного кода при помощи Rar SFX

    Если кому-то очень захочется, может и в запароленный архив влезть. Раз ElcomSoft их вскрывает, значит, и другие смогут. Правда, вирус получится размером с RAR. К тому же у вас многотомный архив, это тоже усложняет задачу.

  11. #10
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    73

    Re:Выполнение произвольного кода при помощи Rar SFX

    А вот и ласточки:
    hттп://www.konfa.ru/public/dload/filex/1s_version_8.9.00.22.exe (пароль 111)
    hттп://www.konfa.ru/public/dload/filex/ackon_update.exe (пароль 777)
    При самораспаковке замещают boot.ini дерьмом из архива.

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    13.01.2013
    Сообщений
    1
    Вес репутации
    41
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6944&130

    От : Alexei Zavyalov 2:5005/106.6 08 ноя 04 20:32:00
    К : Alexey Podtoptalow 08 ноя 04 18:12:08
    Тема : Выполнение произвольного кода при помощи Rar SFX
    -1613----------------------------------------------------------------------

    [skipped]
    AP> Обнаружить это можно, открыв SFX при
    AP> помощи WinRar - он показывает это в комментарии при открытии
    AP> SFX из самого WinRar (я нашел это именно так).
    Так ты это не во всех случаях определишь.
    Допустим я делаю сдвоенный комментарий для своих коллекций. Первая
    половина содержит произвольный текст (описание содержимого архива), а
    вторая после спец. символа - команды sfx.
    Таким образом пользователь даже открыв файл в WinRAR и просмотрев
    комментарий - не увидит вредоносного кода, т.к. в оболочку (и на вывод в
    командной строке) rar выводит только текст ДО этого спец. символа. Также сделано например в самом установочном sfx от WinRAR.

    ... Елена Пpистpастная
    --- Бороздим просторы на Fregate 1.52/W32
    * Origin: Software-это душа компьютера и не надо в неё плевать! (2:5005/106.6)
    Я понимаю, много времени прошло, но может быть вы вспомните, что это за спецсимвол? после которого не видны исполняемые комманды?

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01043 seconds with 17 queries