Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
F-Prot voit malware.com dans ton ZIP. Je pense que tu as inversé les deux noms.
Ca confirme ce que je disais avant. Mais peut importe, ça veut dire que le logiciel a la faille quand même... (sinon un seul des deux noms apparaitrait quelque soit l'opération)
-- Olivier Aichelbaum
Frederic Bonroy wrote:
F-Prot voit malware.com dans ton ZIP. Je pense que tu as inversé les
deux noms.
Ca confirme ce que je disais avant. Mais peut importe, ça veut dire
que le logiciel a la faille quand même... (sinon un seul des deux
noms apparaitrait quelque soit l'opération)
F-Prot voit malware.com dans ton ZIP. Je pense que tu as inversé les deux noms.
Ca confirme ce que je disais avant. Mais peut importe, ça veut dire que le logiciel a la faille quand même... (sinon un seul des deux noms apparaitrait quelque soit l'opération)
-- Olivier Aichelbaum
djehuti
"Olivier Aichelbaum" a écrit dans le message news: 40336902$0$24935$
djehuti wrote:
pour le test, j'ai utilisé le zip de Nicob en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison de cliquer dessus) mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas pièger et ouvre le fichier dans notepad (puisque extension bidouillée en .txt)
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
bon, vu ton insistance... j'me doute que tu as fait le test :-D (donc, j'ai un problème)
après un test méthodique (cette fois ci)... winrar 3.00 est bien faillible
@tchao -- mais quelle idée de nommer un fichier de test... test.zip :-(
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
40336902$0$24935$626a14ce@news.free.fr
djehuti wrote:
pour le test, j'ai utilisé le zip de Nicob
en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune
raison de cliquer dessus)
mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse
pas pièger et ouvre le fichier dans notepad (puisque extension
bidouillée en .txt)
C'est le *contraire* qu'il faut faire dans l'archive bidouillée :
afficher un TXT dans la fenêtre mais lancer un EXE au double-clic
s'il y a la faille.
bon, vu ton insistance... j'me doute que tu as fait le test :-D
(donc, j'ai un problème)
après un test méthodique (cette fois ci)... winrar 3.00 est bien faillible
@tchao
--
mais quelle idée de nommer un fichier de test... test.zip :-(
"Olivier Aichelbaum" a écrit dans le message news: 40336902$0$24935$
djehuti wrote:
pour le test, j'ai utilisé le zip de Nicob en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison de cliquer dessus) mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas pièger et ouvre le fichier dans notepad (puisque extension bidouillée en .txt)
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
bon, vu ton insistance... j'me doute que tu as fait le test :-D (donc, j'ai un problème)
après un test méthodique (cette fois ci)... winrar 3.00 est bien faillible
@tchao -- mais quelle idée de nommer un fichier de test... test.zip :-(
djehuti
salut "Frederic Bonroy" a écrit dans le message news: c0vq2c$1ckr5t$
Nicob wrote:
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Ca, par contre, c'est super bizarre. Et il affiche lequel quand on lui demande le contenu de l'archive ?
Djehuti vient d'avoir le même problème: son logiciel à lui affiche le .com mais lance le .txt... news:4033634d$0$22401$
Pkunzip 2.50 DOS affiche ET extrait _nicob.txt_
F-Prot voit malware.com dans ton ZIP. Je pense que tu as inversé les deux noms.
voui, moi aussi... je le pense :-D
en fait, je m'étais planté de fichier "test" (ce n'était pas celui de Nicob... qui est "bon")
affichage d'un fichier .txt --> extraction d'un fichier .txt (alors que c'est un .com qui est zippé)
y a quand même un malaise... même si c'est sans conséquence :-(
@tchao
salut
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message news:
c0vq2c$1ckr5t$1@ID-75150.news.uni-berlin.de
Nicob wrote:
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Ca, par contre, c'est super bizarre. Et il affiche lequel quand on
lui demande le contenu de l'archive ?
Djehuti vient d'avoir le même problème: son logiciel à lui affiche le
.com mais lance le .txt...
news:4033634d$0$22401$626a14ce@news.free.fr
Pkunzip 2.50 DOS affiche ET extrait _nicob.txt_
F-Prot voit malware.com dans ton ZIP. Je pense que tu as inversé les
deux noms.
voui, moi aussi... je le pense :-D
en fait, je m'étais planté de fichier "test" (ce n'était pas celui de
Nicob... qui est "bon")
affichage d'un fichier .txt --> extraction d'un fichier .txt (alors que
c'est un .com qui est zippé)
y a quand même un malaise... même si c'est sans conséquence :-(
Grosso modo, chaque implémentation (AV, archiveur, ...) fait comme elle veut (affichage du 1er nom et extraction du second, tout faire avec le second, tout faire avec le premier) et personne ne peut juger ça "mal" au sens "non respectueux de la norme". Donc, forcément, on peut trouver des combinaisons dangereueses (affichage en TXT et extraction en COM).
L'anti-virus devrait bien sûr envisager les pires cas s'il se base sur le nom de fichier pour savoir s'il scanne ou pas, et tester avec les deux noms.
Nicob
On Wed, 18 Feb 2004 15:10:47 +0100, djehuti wrote:
affichage d'un fichier .txt --> extraction d'un fichier .txt (alors que
c'est un .com qui est zippé)
y a quand même un malaise... même si c'est sans conséquence :-(
Tout réside dans l'ambiguité de la définition du format ZIP. J'avais
fait un post à ce sujet :
Grosso modo, chaque implémentation (AV, archiveur, ...) fait comme elle
veut (affichage du 1er nom et extraction du second, tout faire avec le
second, tout faire avec le premier) et personne ne peut juger ça "mal" au
sens "non respectueux de la norme". Donc, forcément, on peut trouver des
combinaisons dangereueses (affichage en TXT et extraction en COM).
L'anti-virus devrait bien sûr envisager les pires cas s'il se base sur le
nom de fichier pour savoir s'il scanne ou pas, et tester avec les deux
noms.
Grosso modo, chaque implémentation (AV, archiveur, ...) fait comme elle veut (affichage du 1er nom et extraction du second, tout faire avec le second, tout faire avec le premier) et personne ne peut juger ça "mal" au sens "non respectueux de la norme". Donc, forcément, on peut trouver des combinaisons dangereueses (affichage en TXT et extraction en COM).
L'anti-virus devrait bien sûr envisager les pires cas s'il se base sur le nom de fichier pour savoir s'il scanne ou pas, et tester avec les deux noms.
Nicob
Nicob
On Wed, 18 Feb 2004 14:31:22 +0100, Olivier Aichelbaum wrote:
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP universel faisant cela sur tous les archiveurs utilisant les deux noms (un pour l'affichage, un pour l'extraction).
Nicob
On Wed, 18 Feb 2004 14:31:22 +0100, Olivier Aichelbaum wrote:
C'est le *contraire* qu'il faut faire dans l'archive bidouillée :
afficher un TXT dans la fenêtre mais lancer un EXE au double-clic
s'il y a la faille.
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP
universel faisant cela sur tous les archiveurs utilisant les deux noms (un
pour l'affichage, un pour l'extraction).
On Wed, 18 Feb 2004 14:31:22 +0100, Olivier Aichelbaum wrote:
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP universel faisant cela sur tous les archiveurs utilisant les deux noms (un pour l'affichage, un pour l'extraction).
Nicob
Olivier Aichelbaum
Nicob wrote:
On Wed, 18 Feb 2004 14:31:22 +0100, Olivier Aichelbaum wrote:
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP universel faisant cela sur tous les archiveurs utilisant les deux noms (un pour l'affichage, un pour l'extraction).
Jusqu'à présent, tous les logiciels qui ont la faille l'ont dans le même sens (je n'ai trouvé aucun logiciel trompé par ton Zip à toi).
-- Olivier Aichelbaum
Nicob wrote:
On Wed, 18 Feb 2004 14:31:22 +0100, Olivier Aichelbaum wrote:
C'est le *contraire* qu'il faut faire dans l'archive bidouillée :
afficher un TXT dans la fenêtre mais lancer un EXE au double-clic
s'il y a la faille.
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP
universel faisant cela sur tous les archiveurs utilisant les deux noms (un
pour l'affichage, un pour l'extraction).
Jusqu'à présent, tous les logiciels qui ont la faille l'ont
dans le même sens (je n'ai trouvé aucun logiciel trompé par
ton Zip à toi).
On Wed, 18 Feb 2004 14:31:22 +0100, Olivier Aichelbaum wrote:
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP universel faisant cela sur tous les archiveurs utilisant les deux noms (un pour l'affichage, un pour l'extraction).
Jusqu'à présent, tous les logiciels qui ont la faille l'ont dans le même sens (je n'ai trouvé aucun logiciel trompé par ton Zip à toi).
-- Olivier Aichelbaum
djehuti
"Olivier Aichelbaum" a écrit dans le message news: 4034bcdc$0$22401$
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
c'est le cas avec *zip-bug.zip* ... non ?
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP universel faisant cela sur tous les archiveurs utilisant les deux noms (un pour l'affichage, un pour l'extraction).
Jusqu'à présent, tous les logiciels qui ont la faille l'ont dans le même sens (je n'ai trouvé aucun logiciel trompé par ton Zip à toi).
ben avec winrar (pour en revenir à lui), si
nom affiché ==> _nicob_.txt fichier exécuté depuis l'archive ==> malware.com
t'as réussi à m'embrouiller là :-( ... parce que pour moi, le fichier de Nicob est le seul à être *efficace* pour ces tests
@tchao
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
4034bcdc$0$22401$626a14ce@news.free.fr
C'est le *contraire* qu'il faut faire dans l'archive bidouillée :
afficher un TXT dans la fenêtre mais lancer un EXE au double-clic
s'il y a la faille.
c'est le cas avec *zip-bug.zip* ... non ?
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP
universel faisant cela sur tous les archiveurs utilisant les deux
noms (un pour l'affichage, un pour l'extraction).
Jusqu'à présent, tous les logiciels qui ont la faille l'ont
dans le même sens (je n'ai trouvé aucun logiciel trompé par
ton Zip à toi).
ben avec winrar (pour en revenir à lui), si
nom affiché ==> _nicob_.txt
fichier exécuté depuis l'archive ==> malware.com
t'as réussi à m'embrouiller là :-(
... parce que pour moi, le fichier de Nicob est le seul à être *efficace*
pour ces tests
"Olivier Aichelbaum" a écrit dans le message news: 4034bcdc$0$22401$
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
c'est le cas avec *zip-bug.zip* ... non ?
Donc faire un ZIP adapté à chaque archiveur. Il n'existe pas de ZIP universel faisant cela sur tous les archiveurs utilisant les deux noms (un pour l'affichage, un pour l'extraction).
Jusqu'à présent, tous les logiciels qui ont la faille l'ont dans le même sens (je n'ai trouvé aucun logiciel trompé par ton Zip à toi).
ben avec winrar (pour en revenir à lui), si
nom affiché ==> _nicob_.txt fichier exécuté depuis l'archive ==> malware.com
t'as réussi à m'embrouiller là :-( ... parce que pour moi, le fichier de Nicob est le seul à être *efficace* pour ces tests
@tchao
Nicob
On Thu, 19 Feb 2004 15:04:24 +0100, djehuti wrote:
t'as réussi à m'embrouiller là :-( ... parce que pour moi, le fichier de Nicob est le seul à être *efficace* pour ces tests
Je commençais moi aussi à croire que j'avais eu des hallucinations, alors j'ai refait le test :
