à part bagle.i, y a-t-il des bestioles actuellement qui s'envoient en ZIP protégé avec le mot de passe dans une image jointe ?
bagle.n sûr, bagle.j il me semble. Les autres envoient le mdp en texte.
et y en a-t-il de connus pour s'envoyer .... avec un mauvais mot de passe ?
Pas vu encore :)
Juste par curiosité .. je viens d'en recevoir un ... et le mot de passe ne semble pas marcher.
Envoies-m'en une copie, je vais faire marcher une attaque brute force dessus. (joke0@)
-- joke0
Ascadix
De ses petits doigts agiles, Yann Ronel à provoqué l'apparition de l'histoire que voici : <news:
joke0 wrote:
Salut,
Salut,
Voilà. Je vais chercher si je ne peux pas réparer à la main, mais c'est pas gagné.
Winrar tente de réparer, mais ça ne donne rien.
Ben, les 160 bytes d'offset en trop sont à retirer <geek> avec vim </geek> à la fin du zip (les 80 derniers bytes sont répétés deux fois de trop). Mais ça reste en erreur à l'extraction (sur le CRC sans doute). Alors je ne sais pas comment est programmé le générateur de zip de bagle, mais c'est sûrement écrit avec les pieds (A moins qu'un Jean-Kevin n'ai voulu en faire une version perso qui boggue une fois sur deux). Si qq a un début d'explication ou de code source sur le moteur zip de bagle...
Donc, pas de solution pour moi. Je vais prendre de l'aspirine et dodo ;)
Yann.
Pfff .. si les virus sont plus capables de se répendre .. ou vas-t-on
même plus besoin d'un AV ni du Safe-Hex .... quel ennuie :-P
Merci pour les infos
Bon week-end tout le monde
-- @+ Ascadix Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans l'objet :-)
De ses petits doigts agiles, Yann Ronel à provoqué l'apparition de
l'histoire que voici :
<news:40705FD3.A05C7281@free.fr>
joke0 wrote:
Salut,
Salut,
Voilà. Je vais chercher si je ne peux pas réparer à la main,
mais c'est pas gagné.
Winrar tente de réparer, mais ça ne donne rien.
Ben, les 160 bytes d'offset en trop sont à retirer <geek> avec vim
</geek> à la fin du zip (les 80 derniers bytes sont répétés deux fois
de trop). Mais ça reste en erreur à l'extraction (sur le CRC sans
doute). Alors je ne sais pas comment est programmé le générateur de
zip de bagle, mais c'est sûrement écrit avec les pieds (A moins qu'un
Jean-Kevin n'ai voulu en faire une version perso qui boggue une fois
sur deux). Si qq a un début d'explication ou de code source sur le
moteur zip de bagle...
Donc, pas de solution pour moi. Je vais prendre de l'aspirine et dodo
;)
Yann.
Pfff .. si les virus sont plus capables de se répendre .. ou vas-t-on
même plus besoin d'un AV ni du Safe-Hex .... quel ennuie :-P
Merci pour les infos
Bon week-end tout le monde
--
@+
Ascadix
Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans
l'objet :-)
De ses petits doigts agiles, Yann Ronel à provoqué l'apparition de l'histoire que voici : <news:
joke0 wrote:
Salut,
Salut,
Voilà. Je vais chercher si je ne peux pas réparer à la main, mais c'est pas gagné.
Winrar tente de réparer, mais ça ne donne rien.
Ben, les 160 bytes d'offset en trop sont à retirer <geek> avec vim </geek> à la fin du zip (les 80 derniers bytes sont répétés deux fois de trop). Mais ça reste en erreur à l'extraction (sur le CRC sans doute). Alors je ne sais pas comment est programmé le générateur de zip de bagle, mais c'est sûrement écrit avec les pieds (A moins qu'un Jean-Kevin n'ai voulu en faire une version perso qui boggue une fois sur deux). Si qq a un début d'explication ou de code source sur le moteur zip de bagle...
Donc, pas de solution pour moi. Je vais prendre de l'aspirine et dodo ;)
Yann.
Pfff .. si les virus sont plus capables de se répendre .. ou vas-t-on
même plus besoin d'un AV ni du Safe-Hex .... quel ennuie :-P
Merci pour les infos
Bon week-end tout le monde
-- @+ Ascadix Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans l'objet :-)
joke0
Salut,
Yann Ronel:
Alors je ne sais pas comment est programmé le générateur de zip de bagle, mais c'est sûrement écrit avec les pieds
Faudrait demander à des spécialites, mais je pense que la création du zip se fait en utilisant les possibilités de DCOM (il le fait déjà pour créer les mots de passe dans des gif/jpeg).
(A moins qu'un Jean-Kevin n'ai voulu en faire une version perso qui boggue une fois sur deux). Si qq a un début d'explication ou de code source sur le moteur zip de bagle...
Les séries Bagle et NetSky ne sont sûrement pas l'oeuvre d'un quelconque JK, on peut même imaginer qu'ils sont à plusieurs et en tous cas ils sont liés à des spammeurs.
Sur cet exemplaire il y a eu un bug, difficile de savoir pourquoi :-/
-- joke0
Salut,
Yann Ronel:
Alors je ne sais pas comment est programmé le générateur de
zip de bagle, mais c'est sûrement écrit avec les pieds
Faudrait demander à des spécialites, mais je pense que la
création du zip se fait en utilisant les possibilités de DCOM
(il le fait déjà pour créer les mots de passe dans des
gif/jpeg).
(A moins qu'un Jean-Kevin n'ai voulu en faire une version
perso qui boggue une fois sur deux). Si qq a un début
d'explication ou de code source sur le moteur zip de bagle...
Les séries Bagle et NetSky ne sont sûrement pas l'oeuvre d'un
quelconque JK, on peut même imaginer qu'ils sont à plusieurs et
en tous cas ils sont liés à des spammeurs.
Sur cet exemplaire il y a eu un bug, difficile de savoir
pourquoi :-/
Alors je ne sais pas comment est programmé le générateur de zip de bagle, mais c'est sûrement écrit avec les pieds
Faudrait demander à des spécialites, mais je pense que la création du zip se fait en utilisant les possibilités de DCOM (il le fait déjà pour créer les mots de passe dans des gif/jpeg).
(A moins qu'un Jean-Kevin n'ai voulu en faire une version perso qui boggue une fois sur deux). Si qq a un début d'explication ou de code source sur le moteur zip de bagle...
Les séries Bagle et NetSky ne sont sûrement pas l'oeuvre d'un quelconque JK, on peut même imaginer qu'ils sont à plusieurs et en tous cas ils sont liés à des spammeurs.
Sur cet exemplaire il y a eu un bug, difficile de savoir pourquoi :-/
-- joke0
joke0
Salut,
Yann Ronel:
Faudrait demander à des spécialites,
Ceux qui ont décompilé le binaire ? J'ai pas l'impression que ce genre d'information circule librement.
Si si :)
Les chevelus qui travaillent pour les éditeurs d'AV gardent ça pour eux, non ? C'est très dommage. :(
Non, les informations circulent quand les bestioles en valent la peine. Il y a d'ailleurs ici des discussions qui sont parfois très techniques avec analyses du code obtenu par décompilation.
Mais bon, c'est rare tout de même. La dernière fois c'était pour Swen il me semble.
-- joke0
Salut,
Yann Ronel:
Faudrait demander à des spécialites,
Ceux qui ont décompilé le binaire ? J'ai pas l'impression que
ce genre d'information circule librement.
Si si :)
Les chevelus qui travaillent pour les éditeurs d'AV gardent ça
pour eux, non ? C'est très dommage. :(
Non, les informations circulent quand les bestioles en valent la
peine. Il y a d'ailleurs ici des discussions qui sont parfois
très techniques avec analyses du code obtenu par décompilation.
Mais bon, c'est rare tout de même. La dernière fois c'était pour
Swen il me semble.
Ceux qui ont décompilé le binaire ? J'ai pas l'impression que ce genre d'information circule librement.
Si si :)
Les chevelus qui travaillent pour les éditeurs d'AV gardent ça pour eux, non ? C'est très dommage. :(
Non, les informations circulent quand les bestioles en valent la peine. Il y a d'ailleurs ici des discussions qui sont parfois très techniques avec analyses du code obtenu par décompilation.
Mais bon, c'est rare tout de même. La dernière fois c'était pour Swen il me semble.
