Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
On Sat, 14 Feb 2004 17:23:45 +0100, Olivier Aichelbaum wrote:
Me trompe-je ?
Oui. J'ai indiqué le nom dès le premier post.
Le "Merci BitDefender" qui était dans ta sig ?
Nicob
rm
djehuti wrote:
hein ???
c'est plus que flou... cette affirmation
"il va se lancer au décompactage" ... t'es sûr de ça ?
Tu as deux endroits différents dans le ZIP ou est stocké le nom d'un fichier. Un des noms est affiché, l'autre non. Tu peux manipuler le ZIP de manière à ce que soit affiché un nom de fichier totalement innocent, par exemple caraibes.jpg. Puis en fait, le second nom dans le ZIP est virus.exe. Comme caraibes.jpg sera affiché, il sera extrait de l'archive par le décompacteur et c'est virus.exe qui sera lancé (il s'agit du même fichier, mais avec deux noms bien différents).
salut
Ce n'est pas une faille qui permet l'autoexécution d'un fichier puisque l'utilisateur a explicitement cliqué dessus. Mais c'est une faille destinée à berner l'utilisateur.
comme celle, si mes souvenirs sont bons, de ces quelques mails récents chargés à la MyDoom/Novarg contenant dans un .zip des fichiers du type:
body.txt .exe
qui selon la config du logiciel de désarchivage (en gros largeur de colonne pour les "winzipGUI like"), masque l'extension finale (pléonasme) du nom de fichier...
c'est quand même bien plus simple et probablement aussi efficace que cette histoire de zip fasifiés, ma foi, fort interessante ;-)
@+ -- rm http://foxmail.free.fr
djehuti wrote:
hein ???
c'est plus que flou... cette affirmation
"il va se lancer au décompactage" ... t'es sûr de ça ?
Tu as deux endroits différents dans le ZIP ou est stocké le nom d'un
fichier. Un des noms est affiché, l'autre non.
Tu peux manipuler le ZIP de manière à ce que soit affiché un nom de
fichier totalement innocent, par exemple caraibes.jpg. Puis en fait, le
second nom dans le ZIP est virus.exe. Comme caraibes.jpg sera affiché,
il sera extrait de l'archive par le décompacteur et c'est virus.exe qui
sera lancé (il s'agit du même fichier, mais avec deux noms bien différents).
salut
Ce n'est pas une faille qui permet l'autoexécution d'un fichier puisque
l'utilisateur a explicitement cliqué dessus. Mais c'est une faille
destinée à berner l'utilisateur.
comme celle, si mes souvenirs sont bons, de ces quelques mails récents
chargés à la MyDoom/Novarg contenant dans un .zip des fichiers du type:
body.txt .exe
qui selon la config du logiciel de désarchivage (en gros largeur de colonne
pour les "winzipGUI like"), masque l'extension finale (pléonasme) du nom de
fichier...
c'est quand même bien plus simple et probablement aussi efficace que cette
histoire de zip fasifiés, ma foi, fort interessante ;-)
"il va se lancer au décompactage" ... t'es sûr de ça ?
Tu as deux endroits différents dans le ZIP ou est stocké le nom d'un fichier. Un des noms est affiché, l'autre non. Tu peux manipuler le ZIP de manière à ce que soit affiché un nom de fichier totalement innocent, par exemple caraibes.jpg. Puis en fait, le second nom dans le ZIP est virus.exe. Comme caraibes.jpg sera affiché, il sera extrait de l'archive par le décompacteur et c'est virus.exe qui sera lancé (il s'agit du même fichier, mais avec deux noms bien différents).
salut
Ce n'est pas une faille qui permet l'autoexécution d'un fichier puisque l'utilisateur a explicitement cliqué dessus. Mais c'est une faille destinée à berner l'utilisateur.
comme celle, si mes souvenirs sont bons, de ces quelques mails récents chargés à la MyDoom/Novarg contenant dans un .zip des fichiers du type:
body.txt .exe
qui selon la config du logiciel de désarchivage (en gros largeur de colonne pour les "winzipGUI like"), masque l'extension finale (pléonasme) du nom de fichier...
c'est quand même bien plus simple et probablement aussi efficace que cette histoire de zip fasifiés, ma foi, fort interessante ;-)
@+ -- rm http://foxmail.free.fr
Olivier Aichelbaum
Roland Garcia wrote:
Or le fichier ZIP aura pourtant été déclaré sain, par exemple, par Fprot DOS qui n'aura scanné que les extensions exécutables.
Non, il y aura d'abord création d'un fichier temporaire exécutable visible par tous les moniteurs anti-virus (même si leurs scanners ne détectent rien).
A quoi bon avoir un scanner qui scanne les ZIP alors ?
Il n'était *pas* question de moniteur ci-dessus. Plusieurs personnes n'en utilisent pas pour diverses raisons : gratuité de Fprot DOS, ralentissements, incompatibilités avec d'autre antivirus, etc.
De même, doivent désormais se méfier des TXT et autres dans les ZIP tous ceux qui se protègent sans antivirus.
-- Olivier Aichelbaum
Roland Garcia wrote:
Or le fichier ZIP aura pourtant été déclaré sain, par exemple, par
Fprot DOS qui n'aura scanné que les extensions exécutables.
Non, il y aura d'abord création d'un fichier temporaire exécutable
visible par tous les moniteurs anti-virus (même si leurs scanners ne
détectent rien).
A quoi bon avoir un scanner qui scanne les ZIP alors ?
Il n'était *pas* question de moniteur ci-dessus. Plusieurs personnes
n'en utilisent pas pour diverses raisons : gratuité de Fprot DOS,
ralentissements, incompatibilités avec d'autre antivirus, etc.
De même, doivent désormais se méfier des TXT et autres dans
les ZIP tous ceux qui se protègent sans antivirus.
Or le fichier ZIP aura pourtant été déclaré sain, par exemple, par Fprot DOS qui n'aura scanné que les extensions exécutables.
Non, il y aura d'abord création d'un fichier temporaire exécutable visible par tous les moniteurs anti-virus (même si leurs scanners ne détectent rien).
A quoi bon avoir un scanner qui scanne les ZIP alors ?
Il n'était *pas* question de moniteur ci-dessus. Plusieurs personnes n'en utilisent pas pour diverses raisons : gratuité de Fprot DOS, ralentissements, incompatibilités avec d'autre antivirus, etc.
De même, doivent désormais se méfier des TXT et autres dans les ZIP tous ceux qui se protègent sans antivirus.
-- Olivier Aichelbaum
Olivier Aichelbaum
Pierre VG wrote:
De même, doivent désormais se méfier des TXT et autres dans les ZIP tous ceux qui se protègent sans antivirus.
d'où l'utilité d'avoir un antivirus... cela fait plaisir de le lire sous votre plume.
Pas forcèment, cf mon objection ci-dessus que vous avez coupée.....
-- Olivier Aichelbaum
Pierre VG wrote:
De même, doivent désormais se méfier des TXT et autres dans
les ZIP tous ceux qui se protègent sans antivirus.
d'où l'utilité d'avoir un antivirus... cela fait plaisir de le lire sous
votre plume.
Pas forcèment, cf mon objection ci-dessus que vous avez coupée.....
Olivier Aichelbaum a joyeusement tapoté (news:402f4ff4$0$28113$):
Pas forcèment, cf mon objection ci-dessus que vous avez coupée.....
pas vu d'objection dans ce que vous avez écrit plus haut.
Vous avez coupé que : Certains scanners lancés sans résident ne voient rien.
Et pouvant contourner ce problème sans antivirus, je ne céderai pas à la dépense que vous voulez m'imposer alors que je peux largement m'en passer.
-- Olivier Aichelbaum
Olivier Aichelbaum
Pierre VG wrote:
Vous avez coupé que : Certains scanners lancés sans résident ne voient rien.
eh bien faut lancer le moniteur !
Certains antivirus n'en ont pas (exemple Fprot DOS), et certaines personnes ont de bonnes raisons de ne pas utiliser les moniteurs : conflits avec d'autres antivirus, ralentissements, etc. (Texte que vous avez coupé...)
Et pouvant contourner ce problème sans antivirus, je ne céderai pas à la dépense que vous voulez m'imposer alors que je peux largement m'en passer.
votre cas particulier ne m'intéresse pas...
Vous n'êtes pas tout seul. On est plusieurs dans ce forum à être concerné par cette faille. Et ce n'est pas parce qu'on n'a pas acheté votre antivirus que vous allez nous interdire de parler !
si vous ne voulez pas vous protéger, c'est votre problème !
Je me protége MAIS sans antivirus car ce n'est pas indispensable.
Peut être que Monsieur est indirectement lié au commerce d'un antivirus et que cette calomnie de sa part contre moi sert ses intérêts ? Sinon je ne vois pas son intérêt à calomnier...
-- Olivier Aichelbaum
Pierre VG wrote:
Vous avez coupé que :
Certains scanners lancés sans résident ne voient rien.
eh bien faut lancer le moniteur !
Certains antivirus n'en ont pas (exemple Fprot DOS), et certaines
personnes ont de bonnes raisons de ne pas utiliser les moniteurs :
conflits avec d'autres antivirus, ralentissements, etc.
(Texte que vous avez coupé...)
Et pouvant contourner ce problème sans antivirus, je ne céderai
pas à la dépense que vous voulez m'imposer alors que je peux
largement m'en passer.
votre cas particulier ne m'intéresse pas...
Vous n'êtes pas tout seul. On est plusieurs dans ce forum à
être concerné par cette faille. Et ce n'est pas parce qu'on
n'a pas acheté votre antivirus que vous allez nous interdire
de parler !
si vous ne voulez pas vous protéger, c'est votre problème !
Je me protége MAIS sans antivirus car ce n'est pas indispensable.
Peut être que Monsieur est indirectement lié au commerce d'un
antivirus et que cette calomnie de sa part contre moi sert ses
intérêts ? Sinon je ne vois pas son intérêt à calomnier...
Vous avez coupé que : Certains scanners lancés sans résident ne voient rien.
eh bien faut lancer le moniteur !
Certains antivirus n'en ont pas (exemple Fprot DOS), et certaines personnes ont de bonnes raisons de ne pas utiliser les moniteurs : conflits avec d'autres antivirus, ralentissements, etc. (Texte que vous avez coupé...)
Et pouvant contourner ce problème sans antivirus, je ne céderai pas à la dépense que vous voulez m'imposer alors que je peux largement m'en passer.
votre cas particulier ne m'intéresse pas...
Vous n'êtes pas tout seul. On est plusieurs dans ce forum à être concerné par cette faille. Et ce n'est pas parce qu'on n'a pas acheté votre antivirus que vous allez nous interdire de parler !
si vous ne voulez pas vous protéger, c'est votre problème !
Je me protége MAIS sans antivirus car ce n'est pas indispensable.
Peut être que Monsieur est indirectement lié au commerce d'un antivirus et que cette calomnie de sa part contre moi sert ses intérêts ? Sinon je ne vois pas son intérêt à calomnier...
-- Olivier Aichelbaum
Olivier Aichelbaum
Pierre VG wrote:
Olivier Aichelbaum a joyeusement tapoté (news:402f57a0$0$28138$):
Certains antivirus n'en ont pas (exemple Fprot DOS), et certaines personnes ont de bonnes raisons de ne pas utiliser les moniteurs : conflits avec d'autres antivirus, ralentissements, etc. (Texte que vous avez coupé...)
Si vous ne savez pas qu'un antivirus consomme du temps machine, je ne peux rien pour vous.
Intérêt d'avoir plusieurs AV : aucun n'est fiable à 100 %, donc plusieurs AV permettent d'améliorer le taux de détection. Cette discussion a déjà eu lieu. Si vous me harceliez moins de façon hors charte, vous l'auriez peut être vue.
parlez donc, mais vous ne m'empêcherez pas de réagir aux propos de ce ng public ! si vous ne supportez pas la critique, faites donc une page web... pas vu que je faisais du prosélytisme pour un av... mid de vos allégations foireuses ?
Il ne s'agit pas de critique de votre part mais de calomnies et d'attaques personnelles quand vous dites que je ne me protège pas ! Quels intérêts défendez-vous avez vos tels agissements ?
Je me protége MAIS sans antivirus car ce n'est pas indispensable.
ben faut croire que si puisque vous nous dites qu'une faille existe dans des décompateurs et que sans moniteur certains av sont faillibles...
J'ai donné un source GPL qui permet de vérifier s'il y a ou non danger, je n'ai pas besoin de votre antivirus, arrêtez de me harceler pour que je l'achète !
Peut être que Monsieur est indirectement lié au commerce d'un antivirus et que cette calomnie de sa part contre moi sert ses intérêts ? Sinon je ne vois pas son intérêt à calomnier...
soit vous donnez des preuves de ce que vous affirmez, soit vous pouvez la fermer avec vos propres calomnies ! et vous serez bien gentil de citer mes prétendues calomnies... car là, je ne vois que des présomptions et autres interprétations démentes de votre fait !
Vous me calomniez en disant que je ne me protège pas, sous-entendu que je serais un danger pour les internautes. En plus de m'avoir accusé la veille d'être un débille. J'ai du mal à imaginer un simple consommateur indépendant avoir ce comportement en réponse à des propos techniques sur un problème des fichiers ZIP.
-- Olivier Aichelbaum
Pierre VG wrote:
Olivier Aichelbaum a joyeusement tapoté
(news:402f57a0$0$28138$636a15ce@news.free.fr):
Certains antivirus n'en ont pas (exemple Fprot DOS), et certaines
personnes ont de bonnes raisons de ne pas utiliser les moniteurs :
conflits avec d'autres antivirus, ralentissements, etc.
(Texte que vous avez coupé...)
Si vous ne savez pas qu'un antivirus consomme du temps machine,
je ne peux rien pour vous.
Intérêt d'avoir plusieurs AV : aucun n'est fiable à 100 %, donc
plusieurs AV permettent d'améliorer le taux de détection.
Cette discussion a déjà eu lieu. Si vous me harceliez moins
de façon hors charte, vous l'auriez peut être vue.
parlez donc, mais vous ne m'empêcherez pas de réagir aux propos de ce ng
public !
si vous ne supportez pas la critique, faites donc une page web...
pas vu que je faisais du prosélytisme pour un av... mid de vos
allégations foireuses ?
Il ne s'agit pas de critique de votre part mais de calomnies et
d'attaques personnelles quand vous dites que je ne me protège pas !
Quels intérêts défendez-vous avez vos tels agissements ?
Je me protége MAIS sans antivirus car ce n'est pas indispensable.
ben faut croire que si puisque vous nous dites qu'une faille existe dans
des décompateurs et que sans moniteur certains av sont faillibles...
J'ai donné un source GPL qui permet de vérifier s'il y a ou
non danger, je n'ai pas besoin de votre antivirus, arrêtez
de me harceler pour que je l'achète !
Peut être que Monsieur est indirectement lié au commerce d'un
antivirus et que cette calomnie de sa part contre moi sert ses
intérêts ? Sinon je ne vois pas son intérêt à calomnier...
soit vous donnez des preuves de ce que vous affirmez, soit vous pouvez
la fermer avec vos propres calomnies !
et vous serez bien gentil de citer mes prétendues calomnies... car là,
je ne vois que des présomptions et autres interprétations démentes de
votre fait !
Vous me calomniez en disant que je ne me protège pas, sous-entendu
que je serais un danger pour les internautes. En plus de m'avoir
accusé la veille d'être un débille. J'ai du mal à imaginer un simple
consommateur indépendant avoir ce comportement en réponse à des
propos techniques sur un problème des fichiers ZIP.
Olivier Aichelbaum a joyeusement tapoté (news:402f57a0$0$28138$):
Certains antivirus n'en ont pas (exemple Fprot DOS), et certaines personnes ont de bonnes raisons de ne pas utiliser les moniteurs : conflits avec d'autres antivirus, ralentissements, etc. (Texte que vous avez coupé...)
Si vous ne savez pas qu'un antivirus consomme du temps machine, je ne peux rien pour vous.
Intérêt d'avoir plusieurs AV : aucun n'est fiable à 100 %, donc plusieurs AV permettent d'améliorer le taux de détection. Cette discussion a déjà eu lieu. Si vous me harceliez moins de façon hors charte, vous l'auriez peut être vue.
parlez donc, mais vous ne m'empêcherez pas de réagir aux propos de ce ng public ! si vous ne supportez pas la critique, faites donc une page web... pas vu que je faisais du prosélytisme pour un av... mid de vos allégations foireuses ?
Il ne s'agit pas de critique de votre part mais de calomnies et d'attaques personnelles quand vous dites que je ne me protège pas ! Quels intérêts défendez-vous avez vos tels agissements ?
Je me protége MAIS sans antivirus car ce n'est pas indispensable.
ben faut croire que si puisque vous nous dites qu'une faille existe dans des décompateurs et que sans moniteur certains av sont faillibles...
J'ai donné un source GPL qui permet de vérifier s'il y a ou non danger, je n'ai pas besoin de votre antivirus, arrêtez de me harceler pour que je l'achète !
Peut être que Monsieur est indirectement lié au commerce d'un antivirus et que cette calomnie de sa part contre moi sert ses intérêts ? Sinon je ne vois pas son intérêt à calomnier...
soit vous donnez des preuves de ce que vous affirmez, soit vous pouvez la fermer avec vos propres calomnies ! et vous serez bien gentil de citer mes prétendues calomnies... car là, je ne vois que des présomptions et autres interprétations démentes de votre fait !
Vous me calomniez en disant que je ne me protège pas, sous-entendu que je serais un danger pour les internautes. En plus de m'avoir accusé la veille d'être un débille. J'ai du mal à imaginer un simple consommateur indépendant avoir ce comportement en réponse à des propos techniques sur un problème des fichiers ZIP.
-- Olivier Aichelbaum
Roland Garcia
Pierre VG wrote:
Olivier Aichelbaum a joyeusement tapoté
Peut être que Monsieur est indirectement lié au commerce d'un antivirus et que cette calomnie de sa part contre moi sert ses intérêts ? Sinon je ne vois pas son intérêt à calomnier...
soit vous donnez des preuves de ce que vous affirmez, soit vous pouvez la fermer avec vos propres calomnies ! et vous serez bien gentil de citer mes prétendues calomnies... car là, je ne vois que des présomptions et autres interprétations démentes de votre fait !
Vous me calomniez en disant que je ne me protège pas, sous-entendu que je serais un danger pour les internautes. En plus de m'avoir accusé la veille d'être un débille. J'ai du mal à imaginer un simple consommateur indépendant avoir ce comportement en réponse à des propos techniques sur un problème des fichiers ZIP.
Gigabyte n'a que 19 ans et a visiblement envie de terminer sa crise d'adolescence, mais vous franchement vous êtes un cas.
Roland Garcia
Pierre VG wrote:
Olivier Aichelbaum a joyeusement tapoté
Peut être que Monsieur est indirectement lié au commerce d'un
antivirus et que cette calomnie de sa part contre moi sert ses
intérêts ? Sinon je ne vois pas son intérêt à calomnier...
soit vous donnez des preuves de ce que vous affirmez, soit vous pouvez
la fermer avec vos propres calomnies !
et vous serez bien gentil de citer mes prétendues calomnies... car là,
je ne vois que des présomptions et autres interprétations démentes de
votre fait !
Vous me calomniez en disant que je ne me protège pas, sous-entendu
que je serais un danger pour les internautes. En plus de m'avoir
accusé la veille d'être un débille. J'ai du mal à imaginer un simple
consommateur indépendant avoir ce comportement en réponse à des
propos techniques sur un problème des fichiers ZIP.
Gigabyte n'a que 19 ans et a visiblement envie de terminer sa crise
d'adolescence, mais vous franchement vous êtes un cas.
Peut être que Monsieur est indirectement lié au commerce d'un antivirus et que cette calomnie de sa part contre moi sert ses intérêts ? Sinon je ne vois pas son intérêt à calomnier...
soit vous donnez des preuves de ce que vous affirmez, soit vous pouvez la fermer avec vos propres calomnies ! et vous serez bien gentil de citer mes prétendues calomnies... car là, je ne vois que des présomptions et autres interprétations démentes de votre fait !
Vous me calomniez en disant que je ne me protège pas, sous-entendu que je serais un danger pour les internautes. En plus de m'avoir accusé la veille d'être un débille. J'ai du mal à imaginer un simple consommateur indépendant avoir ce comportement en réponse à des propos techniques sur un problème des fichiers ZIP.
Gigabyte n'a que 19 ans et a visiblement envie de terminer sa crise d'adolescence, mais vous franchement vous êtes un cas.
Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
Vous me calomniez en disant que je ne me protège pas, sous-entendu que je serais un danger pour les internautes. En plus de m'avoir accusé la veille d'être un débille. J'ai du mal à imaginer un simple consommateur indépendant avoir ce comportement en réponse à des propos techniques sur un problème des fichiers ZIP.
Gigabyte n'a que 19 ans et a visiblement envie de terminer sa crise d'adolescence, mais vous franchement vous êtes un cas.
Toujours vos attaques personnelles bidons et hors charte contre un journaliste que vous avez commencées alors que vous êtiez consultant pour le distributeur de Kaspersky dont nous sommes les seuls à avoir refusé la publicité...
-- Olivier Aichelbaum
Roland Garcia wrote:
Vous me calomniez en disant que je ne me protège pas, sous-entendu
que je serais un danger pour les internautes. En plus de m'avoir
accusé la veille d'être un débille. J'ai du mal à imaginer un simple
consommateur indépendant avoir ce comportement en réponse à des
propos techniques sur un problème des fichiers ZIP.
Gigabyte n'a que 19 ans et a visiblement envie de terminer sa crise
d'adolescence, mais vous franchement vous êtes un cas.
Toujours vos attaques personnelles bidons et hors charte contre un
journaliste que vous avez commencées alors que vous êtiez consultant
pour le distributeur de Kaspersky dont nous sommes les seuls à avoir
refusé la publicité...
Vous me calomniez en disant que je ne me protège pas, sous-entendu que je serais un danger pour les internautes. En plus de m'avoir accusé la veille d'être un débille. J'ai du mal à imaginer un simple consommateur indépendant avoir ce comportement en réponse à des propos techniques sur un problème des fichiers ZIP.
Gigabyte n'a que 19 ans et a visiblement envie de terminer sa crise d'adolescence, mais vous franchement vous êtes un cas.
Toujours vos attaques personnelles bidons et hors charte contre un journaliste que vous avez commencées alors que vous êtiez consultant pour le distributeur de Kaspersky dont nous sommes les seuls à avoir refusé la publicité...
