Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
Vous n'avez visiblement pas le même Google que moi, c'est étrange.
Pas les mêmes liens surtout.
-- Olivier Aichelbaum
Nicob
On Fri, 13 Feb 2004 20:47:13 +0100, Frederic Bonroy wrote:
Apparemment ton fichier n'est pas correct ou bien F-Prot (DOS) se comporte de manière étrange.
Mon fichier est incorrect au sens où il a été bidouillé à la main, mais il est correct au sens où rien dans le document de spécification du format ZIP ne semble contredire sa structure.
ZIP File Format Specification http://www.pkware.com/products/enterprise/white_papers/appnote.html
D'après cette doc, il y a bien [je zappe les parties inintéressantes] :
- pour chacun des fichiers - un en-tête contenant le nom du fichier - le contenu (compresé ou pas) du fichier - un "central directory" composé de "files headers" - chaque "file header" décrit un fichier de l'archive (contient entre autres le nom de fichier)
Par contre, nulle part n'est spécifié que les noms doivent être identiques ou que l'un doit être utilisé pour l'affichage et l'autre pour la décompression.
Pour berner F-Prot, il faut que le premier nom de fichier soit le nom innocent (en .txt) et le second le fichier réel (en .com).
D'après le comportement apparent de la majorité des "archiveurs", le second nom sert à l'affichage et le premier à l'extraction. Donc F-Prot regarde quel fichier sera extrait (le ".txt") et ne l'analyse donc pas.
Cela n'est problématique que si l'archiveur employé crée un fichier en se basant sur le deuxième nom.
Ainsi F-Prot ne voit rien dans le .zip, sauf quand on lui demande explicitement d'examiner tous les fichiers (avec le paramètre /all). Avec /all il voit le .txt et y détecte EICAR.
Logique (cf. ci-dessus)
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Ca, par contre, c'est super bizarre. Et il affiche lequel quand on lui demande le contenu de l'archive ?
Btw, un autre programme GPL qui permet de vérifier si la structure d'un fichier ZIP est valide : "zipnote", disponible au moins sous Debian via "apt-get install zip"
:~/ > zipnote zip-bug.zip zipnote warning: names in local and central differ for _nicob_.txt zipnote error: Zip file structure invalid (zip-bug.zip)
Et au fait, j'ai essayé le scanzip.cpp, qui compile nickel sous Linux. Petit problème : il a planté sur le premier ZIP censé être valide que j'ai testé :(
Autre chose : j'ai essayé sur mon "unzip" de faire du "directory traversal", mais ça marche pas. Faudrait tester d'autres archiveurs, pour voir ...
Pour moi, les AV devraient au moins lever une alerte de type "fichier suspect" quand ils croisent une archive ZIP avec une structure invalide. Ou, pour ceux qui se basent un nom de fichier pour savoir s'ils vont scannés, de choisir par les deux types le plus dangereux (si le premier ou le second nom a une extension exécutable alors scanner).
Nicob
On Fri, 13 Feb 2004 20:47:13 +0100, Frederic Bonroy wrote:
Apparemment ton fichier n'est pas correct ou bien F-Prot (DOS) se
comporte de manière étrange.
Mon fichier est incorrect au sens où il a été bidouillé à la main,
mais il est correct au sens où rien dans le document de spécification du
format ZIP ne semble contredire sa structure.
ZIP File Format Specification
http://www.pkware.com/products/enterprise/white_papers/appnote.html
D'après cette doc, il y a bien [je zappe les parties inintéressantes] :
- pour chacun des fichiers
- un en-tête contenant le nom du fichier
- le contenu (compresé ou pas) du fichier
- un "central directory" composé de "files headers"
- chaque "file header" décrit un fichier de l'archive
(contient entre autres le nom de fichier)
Par contre, nulle part n'est spécifié que les noms doivent être
identiques ou que l'un doit être utilisé pour l'affichage et l'autre
pour la décompression.
Pour berner F-Prot, il faut que le premier nom de fichier soit le nom
innocent (en .txt) et le second le fichier réel (en .com).
D'après le comportement apparent de la majorité des "archiveurs", le
second nom sert à l'affichage et le premier à l'extraction. Donc F-Prot
regarde quel fichier sera extrait (le ".txt") et ne l'analyse donc pas.
Cela n'est problématique que si l'archiveur employé crée un fichier en
se basant sur le deuxième nom.
Ainsi F-Prot ne voit rien dans le .zip, sauf quand on lui demande
explicitement d'examiner tous les fichiers (avec le paramètre /all).
Avec /all il voit le .txt et y détecte EICAR.
Logique (cf. ci-dessus)
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Ca, par contre, c'est super bizarre. Et il affiche lequel quand on lui
demande le contenu de l'archive ?
Btw, un autre programme GPL qui permet de vérifier si la structure d'un
fichier ZIP est valide : "zipnote", disponible au moins sous Debian via
"apt-get install zip"
nicob@bobby:~/ > zipnote zip-bug.zip
zipnote warning: names in local and central differ for _nicob_.txt
zipnote error: Zip file structure invalid (zip-bug.zip)
Et au fait, j'ai essayé le scanzip.cpp, qui compile nickel sous Linux.
Petit problème : il a planté sur le premier ZIP censé être valide que
j'ai testé :(
Autre chose : j'ai essayé sur mon "unzip" de faire du "directory
traversal", mais ça marche pas. Faudrait tester d'autres archiveurs, pour
voir ...
Pour moi, les AV devraient au moins lever une alerte de type "fichier
suspect" quand ils croisent une archive ZIP avec une structure invalide.
Ou, pour ceux qui se basent un nom de fichier pour savoir s'ils vont
scannés, de choisir par les deux types le plus dangereux (si le premier
ou le second nom a une extension exécutable alors scanner).
On Fri, 13 Feb 2004 20:47:13 +0100, Frederic Bonroy wrote:
Apparemment ton fichier n'est pas correct ou bien F-Prot (DOS) se comporte de manière étrange.
Mon fichier est incorrect au sens où il a été bidouillé à la main, mais il est correct au sens où rien dans le document de spécification du format ZIP ne semble contredire sa structure.
ZIP File Format Specification http://www.pkware.com/products/enterprise/white_papers/appnote.html
D'après cette doc, il y a bien [je zappe les parties inintéressantes] :
- pour chacun des fichiers - un en-tête contenant le nom du fichier - le contenu (compresé ou pas) du fichier - un "central directory" composé de "files headers" - chaque "file header" décrit un fichier de l'archive (contient entre autres le nom de fichier)
Par contre, nulle part n'est spécifié que les noms doivent être identiques ou que l'un doit être utilisé pour l'affichage et l'autre pour la décompression.
Pour berner F-Prot, il faut que le premier nom de fichier soit le nom innocent (en .txt) et le second le fichier réel (en .com).
D'après le comportement apparent de la majorité des "archiveurs", le second nom sert à l'affichage et le premier à l'extraction. Donc F-Prot regarde quel fichier sera extrait (le ".txt") et ne l'analyse donc pas.
Cela n'est problématique que si l'archiveur employé crée un fichier en se basant sur le deuxième nom.
Ainsi F-Prot ne voit rien dans le .zip, sauf quand on lui demande explicitement d'examiner tous les fichiers (avec le paramètre /all). Avec /all il voit le .txt et y détecte EICAR.
Logique (cf. ci-dessus)
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Ca, par contre, c'est super bizarre. Et il affiche lequel quand on lui demande le contenu de l'archive ?
Btw, un autre programme GPL qui permet de vérifier si la structure d'un fichier ZIP est valide : "zipnote", disponible au moins sous Debian via "apt-get install zip"
:~/ > zipnote zip-bug.zip zipnote warning: names in local and central differ for _nicob_.txt zipnote error: Zip file structure invalid (zip-bug.zip)
Et au fait, j'ai essayé le scanzip.cpp, qui compile nickel sous Linux. Petit problème : il a planté sur le premier ZIP censé être valide que j'ai testé :(
Autre chose : j'ai essayé sur mon "unzip" de faire du "directory traversal", mais ça marche pas. Faudrait tester d'autres archiveurs, pour voir ...
Pour moi, les AV devraient au moins lever une alerte de type "fichier suspect" quand ils croisent une archive ZIP avec une structure invalide. Ou, pour ceux qui se basent un nom de fichier pour savoir s'ils vont scannés, de choisir par les deux types le plus dangereux (si le premier ou le second nom a une extension exécutable alors scanner).
Nicob
Roland Garcia
Roland Garcia wrote:
Pris isolément seulement.
Dans son contexte aussi. Et il y en a d'autres des posts affirmatifs.
Si vous le dites, c'est vous le spécialiste es-google.
Roland Garcia
Roland Garcia wrote:
Pris isolément seulement.
Dans son contexte aussi. Et il y en a d'autres des posts affirmatifs.
Si vous le dites, c'est vous le spécialiste es-google.
Oui, le public a le droit de savoir pour le compte de qui vous pratiquez calomnies et injures hors charte dans ce forum.
oui, le public a le droit de savoir qui l'aide dans ce groupe
ton alerte de niveau 6 (sur une échelle de 1 à 5)... c'est une tempête dans un verre d'eau si c'est encore une tentative de décrédibiliser les antivirus à signatures (attaque sur le scanner) pour proposer une solution alternative à base de "ta solution"[1]... c'est encore raté :-p
maintenir ses applications (boucher les failles) fait partie du safe-hex c'est pas cher et c'est indépendant de tous les éditeurs d'AV... que ça te plaise ou non 8-)
pour résumer (puisque ça n'a pas l'air d'être ton objectif) - il existe une possibilité de "tromperie" dans les logiciels d'archivage - si la version utilisée est "faillible"... la remplacer par une version récente - pour éviter les ennuis, utiliser le menu contextuel (clic droit --> extraire...)
pas besoin de "liste blanche" ni de bloqueur ou de "sas" ou je ne sais quoi d'autre, pour ça
[1] quelle qu'elle soit
@tchao
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
402f7f40$0$28117$636a15ce@news.free.fr
Oui, le public a le droit de savoir pour le compte de qui vous
pratiquez calomnies et injures hors charte dans ce forum.
oui, le public a le droit de savoir qui l'aide dans ce groupe
ton alerte de niveau 6 (sur une échelle de 1 à 5)... c'est une tempête dans
un verre d'eau
si c'est encore une tentative de décrédibiliser les antivirus à signatures
(attaque sur le scanner) pour proposer une solution alternative à base de
"ta solution"[1]... c'est encore raté :-p
maintenir ses applications (boucher les failles) fait partie du safe-hex
c'est pas cher et c'est indépendant de tous les éditeurs d'AV... que ça te
plaise ou non 8-)
pour résumer (puisque ça n'a pas l'air d'être ton objectif)
- il existe une possibilité de "tromperie" dans les logiciels d'archivage
- si la version utilisée est "faillible"... la remplacer par une version
récente
- pour éviter les ennuis, utiliser le menu contextuel (clic droit -->
extraire...)
pas besoin de "liste blanche" ni de bloqueur ou de "sas" ou je ne sais quoi
d'autre, pour ça
Oui, le public a le droit de savoir pour le compte de qui vous pratiquez calomnies et injures hors charte dans ce forum.
oui, le public a le droit de savoir qui l'aide dans ce groupe
ton alerte de niveau 6 (sur une échelle de 1 à 5)... c'est une tempête dans un verre d'eau si c'est encore une tentative de décrédibiliser les antivirus à signatures (attaque sur le scanner) pour proposer une solution alternative à base de "ta solution"[1]... c'est encore raté :-p
maintenir ses applications (boucher les failles) fait partie du safe-hex c'est pas cher et c'est indépendant de tous les éditeurs d'AV... que ça te plaise ou non 8-)
pour résumer (puisque ça n'a pas l'air d'être ton objectif) - il existe une possibilité de "tromperie" dans les logiciels d'archivage - si la version utilisée est "faillible"... la remplacer par une version récente - pour éviter les ennuis, utiliser le menu contextuel (clic droit --> extraire...)
pas besoin de "liste blanche" ni de bloqueur ou de "sas" ou je ne sais quoi d'autre, pour ça
Ouaip, toujours tes attaques personnelles bidons au mépris de l'objet de ce forum :-/
Oui, le public a le droit de savoir pour le compte de qui vous pratiquez calomnies et injures hors charte dans ce forum.
oui, le public a le droit de savoir qui l'aide dans ce groupe
ton alerte de niveau 6 (sur une échelle de 1 à 5)... c'est une tempête dans un verre d'eau si c'est encore une tentative de décrédibiliser les antivirus à signatures (attaque sur le scanner) pour proposer une solution alternative à base de "ta solution"[1]... c'est encore raté :-p
Ce n'est pas une alerte 6, et je ne parlais pas des antivirus à signature. Bref, encore tes exagérations et bobards.
maintenir ses applications (boucher les failles) fait partie du safe-hex c'est pas cher et c'est indépendant de tous les éditeurs d'AV... que ça te plaise ou non 8-)
Encore fallait-il savoir que certains décompacteurs avaient une faille, l'objet de mon premier post.
pas besoin de "liste blanche" ni de bloqueur ou de "sas" ou je ne sais quoi d'autre, pour ça
Ce n'était pas mon propos, j'ai filé un source GPL pour vérifier les ZIP sans aucune prétention, ainsi qu'un ZIP surtout pour tester son décompacteur.
Ouaip, toujours tes attaques personnelles bidons au mépris de
l'objet de ce forum :-/
Oui, le public a le droit de savoir pour le compte de qui vous
pratiquez calomnies et injures hors charte dans ce forum.
oui, le public a le droit de savoir qui l'aide dans ce groupe
ton alerte de niveau 6 (sur une échelle de 1 à 5)... c'est une tempête dans
un verre d'eau
si c'est encore une tentative de décrédibiliser les antivirus à signatures
(attaque sur le scanner) pour proposer une solution alternative à base de
"ta solution"[1]... c'est encore raté :-p
Ce n'est pas une alerte 6, et je ne parlais pas des antivirus
à signature. Bref, encore tes exagérations et bobards.
maintenir ses applications (boucher les failles) fait partie du safe-hex
c'est pas cher et c'est indépendant de tous les éditeurs d'AV... que ça te
plaise ou non 8-)
Encore fallait-il savoir que certains décompacteurs avaient une faille,
l'objet de mon premier post.
pas besoin de "liste blanche" ni de bloqueur ou de "sas" ou je ne sais quoi
d'autre, pour ça
Ce n'était pas mon propos, j'ai filé un source GPL pour vérifier
les ZIP sans aucune prétention, ainsi qu'un ZIP surtout pour tester
son décompacteur.
Ouaip, toujours tes attaques personnelles bidons au mépris de l'objet de ce forum :-/
Oui, le public a le droit de savoir pour le compte de qui vous pratiquez calomnies et injures hors charte dans ce forum.
oui, le public a le droit de savoir qui l'aide dans ce groupe
ton alerte de niveau 6 (sur une échelle de 1 à 5)... c'est une tempête dans un verre d'eau si c'est encore une tentative de décrédibiliser les antivirus à signatures (attaque sur le scanner) pour proposer une solution alternative à base de "ta solution"[1]... c'est encore raté :-p
Ce n'est pas une alerte 6, et je ne parlais pas des antivirus à signature. Bref, encore tes exagérations et bobards.
maintenir ses applications (boucher les failles) fait partie du safe-hex c'est pas cher et c'est indépendant de tous les éditeurs d'AV... que ça te plaise ou non 8-)
Encore fallait-il savoir que certains décompacteurs avaient une faille, l'objet de mon premier post.
pas besoin de "liste blanche" ni de bloqueur ou de "sas" ou je ne sais quoi d'autre, pour ça
Ce n'était pas mon propos, j'ai filé un source GPL pour vérifier les ZIP sans aucune prétention, ainsi qu'un ZIP surtout pour tester son décompacteur.
-- Olivier Aichelbaum
djehuti
salut "Cyrius" a écrit dans le message news:
Faudrait le dire au concepteur de f-secure. En tout cas j'ai viré f-secure sans jeu de mots.
ah, j'ai l'impression que OA est parti peindre une /étoile/ sur son cockpit *eg*
