Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
Pouvez-vous mettre en ligne un fichier ZIP contenant EICAR.COM et qui apparaîtra comme FAILLE.TXT ?
On pourra alors tester certains antivirus en utilisant : - le scanner. -Le moniteur temps réel.
Bonne idée, mais je ne préfère pas bidouiller les fichiers Eicar puis les mettre en ligne sur notre site.
Pourquoi ? c'est dangereux ?
Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
Bonne idée, mais je ne préfère pas bidouiller les fichiers Eicar puis les mettre en ligne sur notre site.
Pourquoi ? c'est dangereux ?
On est dans une démocratie encore, donc je suis libre de ne pas mettre ce fichier modifié en ligne si je ne veux pas le faire. Faites-le si vous voulez, vous.
-- Olivier Aichelbaum
Roland Garcia wrote:
Bonne idée, mais je ne préfère pas bidouiller les fichiers Eicar puis
les mettre en ligne sur notre site.
Pourquoi ? c'est dangereux ?
On est dans une démocratie encore, donc je suis libre de ne pas
mettre ce fichier modifié en ligne si je ne veux pas le faire.
Faites-le si vous voulez, vous.
Bonne idée, mais je ne préfère pas bidouiller les fichiers Eicar puis les mettre en ligne sur notre site.
Pourquoi ? c'est dangereux ?
On est dans une démocratie encore, donc je suis libre de ne pas mettre ce fichier modifié en ligne si je ne veux pas le faire. Faites-le si vous voulez, vous.
-- Olivier Aichelbaum
Olivier Aichelbaum
Roland Garcia wrote:
On en a déjà parlé ici.
Possible mais je n'ai pas fait attention, mid ?
Eh bien la prochaine fois, vous ferez attention aux discussions en charte au lieu de raconter des bobards sur ma vie...
-- Olivier Aichelbaum
Roland Garcia wrote:
On en a déjà parlé ici.
Possible mais je n'ai pas fait attention, mid ?
Eh bien la prochaine fois, vous ferez attention aux discussions en
charte au lieu de raconter des bobards sur ma vie...
Eh bien la prochaine fois, vous ferez attention aux discussions en charte au lieu de raconter des bobards sur ma vie...
-- Olivier Aichelbaum
WinTerMiNator
"Zoom2_9" <zoom29@~ns~wanadoo.fr> a écrit dans le message de news:
"Zoom2_9" <zoom29@~ns~wanadoo.fr> écrivait :
Aucun soucis avec Izarc V.3415
Erreur, j'ai été trop vite :( Il ne passe pas le test
Par contre, l'orsque l'on ouvre l'archive et qu'on veut visionner le fichier "*.txt", çà ne fonctionne pas. Affichage: "...vérifiez que le chemin et le nom de fichier sont corrects"
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
-- Michel Nallino aka WinTerMiNator http://www.chez.com/winterminator (Internet et sécurité: comment surfer en paix) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
"Zoom2_9" <zoom29@~ns~wanadoo.fr> a écrit dans le message de
news:Xns948E83A344BEDZoom29@127.0.0.1...
"Zoom2_9" <zoom29@~ns~wanadoo.fr> écrivait :
Aucun soucis avec Izarc V.3415
Erreur, j'ai été trop vite :(
Il ne passe pas le test
Par contre, l'orsque l'on ouvre l'archive et qu'on veut visionner
le fichier "*.txt", çà ne fonctionne pas. Affichage:
"...vérifiez que le chemin et le nom de fichier sont corrects"
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
"Zoom2_9" <zoom29@~ns~wanadoo.fr> a écrit dans le message de news:
"Zoom2_9" <zoom29@~ns~wanadoo.fr> écrivait :
Aucun soucis avec Izarc V.3415
Erreur, j'ai été trop vite :( Il ne passe pas le test
Par contre, l'orsque l'on ouvre l'archive et qu'on veut visionner le fichier "*.txt", çà ne fonctionne pas. Affichage: "...vérifiez que le chemin et le nom de fichier sont corrects"
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
-- Michel Nallino aka WinTerMiNator http://www.chez.com/winterminator (Internet et sécurité: comment surfer en paix) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
WinTerMiNator
"WinTerMiNator" a écrit dans le message de news:c0j620$17sb0a$
"Zoom2_9" <zoom29@~ns~wanadoo.fr> a écrit dans le message de news:
"Zoom2_9" <zoom29@~ns~wanadoo.fr> écrivait :
Aucun soucis avec Izarc V.3415
Erreur, j'ai été trop vite :( Il ne passe pas le test
Par contre, l'orsque l'on ouvre l'archive et qu'on veut visionner le fichier "*.txt", çà ne fonctionne pas. Affichage: "...vérifiez que le chemin et le nom de fichier sont corrects"
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
Donc il s'est fait avoir?
-- Michel Nallino aka WinTerMiNator http://www.chez.com/winterminator (Internet et sécurité: comment surfer en paix) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
"WinTerMiNator" <me@privacy.net> a écrit dans le message de
news:c0j620$17sb0a$1@ID-220974.news.uni-berlin.de...
"Zoom2_9" <zoom29@~ns~wanadoo.fr> a écrit dans le message de
news:Xns948E83A344BEDZoom29@127.0.0.1...
"Zoom2_9" <zoom29@~ns~wanadoo.fr> écrivait :
Aucun soucis avec Izarc V.3415
Erreur, j'ai été trop vite :(
Il ne passe pas le test
Par contre, l'orsque l'on ouvre l'archive et qu'on veut visionner
le fichier "*.txt", çà ne fonctionne pas. Affichage:
"...vérifiez que le chemin et le nom de fichier sont corrects"
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
Donc il s'est fait avoir?
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
"WinTerMiNator" a écrit dans le message de news:c0j620$17sb0a$
"Zoom2_9" <zoom29@~ns~wanadoo.fr> a écrit dans le message de news:
"Zoom2_9" <zoom29@~ns~wanadoo.fr> écrivait :
Aucun soucis avec Izarc V.3415
Erreur, j'ai été trop vite :( Il ne passe pas le test
Par contre, l'orsque l'on ouvre l'archive et qu'on veut visionner le fichier "*.txt", çà ne fonctionne pas. Affichage: "...vérifiez que le chemin et le nom de fichier sont corrects"
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
Donc il s'est fait avoir?
-- Michel Nallino aka WinTerMiNator http://www.chez.com/winterminator (Internet et sécurité: comment surfer en paix) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
Olivier Aichelbaum
WinTerMiNator wrote:
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
Donc il s'est fait avoir?
Oui.
-- Olivier Aichelbaum
WinTerMiNator wrote:
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
On Fri, 13 Feb 2004 19:39:35 +0100, Olivier Aichelbaum wrote:
Eh bien la prochaine fois, vous ferez attention aux discussions en charte au lieu de raconter des bobards sur ma vie...
Et pour moi, c'est la même punition ?
Sérieux, personne ne peut/veut donner le nom d'un seul virus (de préférence ITW) exploitant cette "fonctionnalité" du format Zip ?
Nicob
Nicob
On Fri, 13 Feb 2004 19:57:22 +0100, Olivier Aichelbaum wrote:
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
Donc il s'est fait avoir?
Oui.
Ben disons qu'il fait ce qu'on lui a appris à faire : il utilise les méta-données de l'archive quand il fait de l'affichage, et il utilise le nom contenu dans la partie "fichiers" de l'archive quand il décompresse.
De toute façon, en sécurité, la redondance d'information est rarement bien considérée, car rarement bien gérée. En effet, pourquoi ne pas mettre en début de fichier une liste d'offsets vers les noms de fichier utilisés lors de la décompression et utiliser ces noms lors de l'affichage ?
Nicob
On Fri, 13 Feb 2004 19:57:22 +0100, Olivier Aichelbaum wrote:
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
Donc il s'est fait avoir?
Oui.
Ben disons qu'il fait ce qu'on lui a appris à faire : il utilise les
méta-données de l'archive quand il fait de l'affichage, et il utilise le
nom contenu dans la partie "fichiers" de l'archive quand il décompresse.
De toute façon, en sécurité, la redondance d'information est rarement
bien considérée, car rarement bien gérée. En effet, pourquoi ne pas
mettre en début de fichier une liste d'offsets vers les noms de
fichier utilisés lors de la décompression et utiliser ces noms lors de
l'affichage ?
On Fri, 13 Feb 2004 19:57:22 +0100, Olivier Aichelbaum wrote:
Chez moi Izarc 3.4 ouvre le fichier zip avec "logiciel_securise.txt".
... et il extrait sur disque dur un "faille_detectee!.txt"
Donc il s'est fait avoir?
Oui.
Ben disons qu'il fait ce qu'on lui a appris à faire : il utilise les méta-données de l'archive quand il fait de l'affichage, et il utilise le nom contenu dans la partie "fichiers" de l'archive quand il décompresse.
De toute façon, en sécurité, la redondance d'information est rarement bien considérée, car rarement bien gérée. En effet, pourquoi ne pas mettre en début de fichier une liste d'offsets vers les noms de fichier utilisés lors de la décompression et utiliser ces noms lors de l'affichage ?
Nicob
Frederic Bonroy
Nicob wrote:
Et pour moi, c'est la même punition ?
Sérieux, personne ne peut/veut donner le nom d'un seul virus (de préférence ITW) exploitant cette "fonctionnalité" du format Zip ?
J'ai cherché avec Groupes Google et je n'ai pas réussi à retrouver ce fil. (C'est également dommage pour les lecteurs de ce forum qui n'étaient pas là à l'époque.)
Nicob wrote:
Et pour moi, c'est la même punition ?
Sérieux, personne ne peut/veut donner le nom d'un seul virus
(de préférence ITW) exploitant cette "fonctionnalité" du format Zip ?
J'ai cherché avec Groupes Google et je n'ai pas réussi à retrouver ce
fil. (C'est également dommage pour les lecteurs de ce forum qui
n'étaient pas là à l'époque.)
Sérieux, personne ne peut/veut donner le nom d'un seul virus (de préférence ITW) exploitant cette "fonctionnalité" du format Zip ?
J'ai cherché avec Groupes Google et je n'ai pas réussi à retrouver ce fil. (C'est également dommage pour les lecteurs de ce forum qui n'étaient pas là à l'époque.)
Nicob
On Fri, 13 Feb 2004 18:51:43 +0100, Cyrius wrote:
Pouvez-vous mettre en ligne un fichier ZIP contenant EICAR.COM et qui apparaîtra comme FAILLE.TXT ?
http://nicob.net/tools/zip-bug.zip
Ce fichier "semble" contenir un fichier nommé "_nicob_.txt" mais extrait un fichier nommé "malware.exe" et ayant pour contenu EICAR ...
:~/ > unzip -l zip-bug.zip Archive: zip-bug.zip Length Date Time Name -------- ---- ---- ---- 68 02-13-04 19:36 _nicob_.txt -------- ------- 68 1 file
Résultat du scan "KAV on-line" :
Current object: zip-bug.zip zip-bug.zip Archive: ZIP zip-bug.zip/malware.exe Infected: EICAR-Test-File
Nicob
On Fri, 13 Feb 2004 18:51:43 +0100, Cyrius wrote:
Pouvez-vous mettre en ligne un fichier ZIP contenant EICAR.COM et qui
apparaîtra comme FAILLE.TXT ?
http://nicob.net/tools/zip-bug.zip
Ce fichier "semble" contenir un fichier nommé "_nicob_.txt" mais extrait
un fichier nommé "malware.exe" et ayant pour contenu EICAR ...
nicob@bobby:~/ > unzip -l zip-bug.zip
Archive: zip-bug.zip
Length Date Time Name
-------- ---- ---- ----
68 02-13-04 19:36 _nicob_.txt
-------- -------
68 1 file
Résultat du scan "KAV on-line" :
Current object: zip-bug.zip
zip-bug.zip Archive: ZIP
zip-bug.zip/malware.exe Infected: EICAR-Test-File
