Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
Sérieux, personne ne peut/veut donner le nom d'un seul virus (de préférence ITW) exploitant cette "fonctionnalité" du format Zip ?
J'ai cherché avec Groupes Google et je n'ai pas réussi à retrouver ce fil. (C'est également dommage pour les lecteurs de ce forum qui n'étaient pas là à l'époque.)
Tu as raison, c'est dommage que les lecteurs souffrent de la situation à cause des agissements intolérables d'une poignée de personnes. Donc :
perso, je ne l'ai pas vu in the wild. Toujours est-il que le problème de sécurité est avéré, et il faut le prendre en compte.
-- Olivier Aichelbaum
Frederic Bonroy wrote:
Nicob wrote:
Et pour moi, c'est la même punition ?
Sérieux, personne ne peut/veut donner le nom d'un seul virus
(de préférence ITW) exploitant cette "fonctionnalité" du format Zip ?
J'ai cherché avec Groupes Google et je n'ai pas réussi à retrouver ce
fil. (C'est également dommage pour les lecteurs de ce forum qui
n'étaient pas là à l'époque.)
Tu as raison, c'est dommage que les lecteurs souffrent de la
situation à cause des agissements intolérables d'une poignée
de personnes. Donc :
Sérieux, personne ne peut/veut donner le nom d'un seul virus (de préférence ITW) exploitant cette "fonctionnalité" du format Zip ?
J'ai cherché avec Groupes Google et je n'ai pas réussi à retrouver ce fil. (C'est également dommage pour les lecteurs de ce forum qui n'étaient pas là à l'époque.)
Tu as raison, c'est dommage que les lecteurs souffrent de la situation à cause des agissements intolérables d'une poignée de personnes. Donc :
On Fri, 13 Feb 2004 20:17:12 +0100, Frederic Bonroy wrote:
Current object: zip-bug.zip zip-bug.zip Archive: ZIP zip-bug.zip/malware.exe Infected: EICAR-Test-File
Vaut mieux en faire malware.com. Comme ça on est sûr d'éviter des problèmes liés au conflit format/extension.
Fait !
La nouvelle version est en ligne, même endroit et même nom.
Nicob
Frederic Bonroy
Nicob wrote:
Fait !
La nouvelle version est en ligne, même endroit et même nom.
Apparemment ton fichier n'est pas correct ou bien F-Prot (DOS) se comporte de manière étrange.
Pour berner F-Prot, il faut que le premier nom de fichier soit le nom innocent (en .txt) et le second le fichier réel (en .com). Ainsi F-Prot ne voit rien dans le .zip, sauf quand on lui demande explicitement d'examiner tous les fichiers (avec le paramètre /all). Avec /all il voit le .txt et y détecte EICAR.
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Nicob wrote:
Fait !
La nouvelle version est en ligne, même endroit et même nom.
Apparemment ton fichier n'est pas correct ou bien F-Prot (DOS) se
comporte de manière étrange.
Pour berner F-Prot, il faut que le premier nom de fichier soit le nom
innocent (en .txt) et le second le fichier réel (en .com). Ainsi F-Prot
ne voit rien dans le .zip, sauf quand on lui demande explicitement
d'examiner tous les fichiers (avec le paramètre /all). Avec /all il voit
le .txt et y détecte EICAR.
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
La nouvelle version est en ligne, même endroit et même nom.
Apparemment ton fichier n'est pas correct ou bien F-Prot (DOS) se comporte de manière étrange.
Pour berner F-Prot, il faut que le premier nom de fichier soit le nom innocent (en .txt) et le second le fichier réel (en .com). Ainsi F-Prot ne voit rien dans le .zip, sauf quand on lui demande explicitement d'examiner tous les fichiers (avec le paramètre /all). Avec /all il voit le .txt et y détecte EICAR.
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
djehuti
salut "Roland Garcia" a écrit dans le message news:
Nicob wrote:
On Fri, 13 Feb 2004 18:50:26 +0100, Olivier Aichelbaum wrote:
Cette vulnérabilité n'est exploitée que par des virus.
Simple curiosité : lesquels ?
On en a déjà parlé ici.
Possible mais je n'ai pas fait attention, mid ?
euh, le virus-txt-0octet planqué dans un zip bidouillé... j'ai bon ?
@tchao
salut
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message
news: 402D1896.8030805@wanadoo.fr
Nicob wrote:
On Fri, 13 Feb 2004 18:50:26 +0100, Olivier Aichelbaum wrote:
Cette vulnérabilité n'est exploitée que par des virus.
Simple curiosité : lesquels ?
On en a déjà parlé ici.
Possible mais je n'ai pas fait attention, mid ?
euh, le virus-txt-0octet planqué dans un zip bidouillé... j'ai bon ?
Les réglages étaient sur "analiser les fichiers compressés"
un zip est une "archive" mais n'est pas un fichier compressé (packed)
En revanche, le moniteur en temps réel détecte eicar dans tous les cas.
ben oui, ça me semble tout à fait normal
@tchao
Olivier Aichelbaum
Roland Garcia wrote:
Je ne vois toujours pas le rapport entre cette vulnérabilité et les anti-virus ......
Cette vulnérabilité n'est exploitée que par des virus.
Elle empêche la détection des virus ?
Pour mémoire vous aviez annoncé un anti-virus. Je répète donc ce que j'ai toujours dit, je suis prêt à mettre mon KAV à la poubelle le jour ou vous me présenterez un remplaçant valable et moins cher.
A propos, votre superbe antivirus dit quoi de ce fichier : http://users.skynet.be/cobay/test.zip ?
-- Olivier Aichelbaum
Roland Garcia wrote:
Je ne vois toujours pas le rapport entre cette vulnérabilité et les
anti-virus ......
Cette vulnérabilité n'est exploitée que par des virus.
Elle empêche la détection des virus ?
Pour mémoire vous aviez annoncé un anti-virus. Je répète donc ce que
j'ai toujours dit, je suis prêt à mettre mon KAV à la poubelle le jour
ou vous me présenterez un remplaçant valable et moins cher.
A propos, votre superbe antivirus dit quoi de ce fichier :
http://users.skynet.be/cobay/test.zip ?
Je ne vois toujours pas le rapport entre cette vulnérabilité et les anti-virus ......
Cette vulnérabilité n'est exploitée que par des virus.
Elle empêche la détection des virus ?
Pour mémoire vous aviez annoncé un anti-virus. Je répète donc ce que j'ai toujours dit, je suis prêt à mettre mon KAV à la poubelle le jour ou vous me présenterez un remplaçant valable et moins cher.
A propos, votre superbe antivirus dit quoi de ce fichier : http://users.skynet.be/cobay/test.zip ?
-- Olivier Aichelbaum
djehuti
"Olivier Aichelbaum" a écrit dans le message news: 402d3b1a$0$28131$
A propos, votre superbe antivirus dit quoi de ce fichier :
c'est bien de (enfin) le reconnaitre :-D
http://users.skynet.be/cobay/test.zip ?
EICAR-Test-File
@tchao
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
402d3b1a$0$28131$626a14ce@news.free.fr
A propos, votre superbe antivirus dit quoi de ce fichier :
"Olivier Aichelbaum" a écrit dans le message news: 402d3b1a$0$28131$
A propos, votre superbe antivirus dit quoi de ce fichier :
c'est bien de (enfin) le reconnaitre :-D
http://users.skynet.be/cobay/test.zip ?
EICAR-Test-File
@tchao
Roland Garcia
Roland Garcia wrote:
Je ne vois toujours pas le rapport entre cette vulnérabilité et les anti-virus ......
Cette vulnérabilité n'est exploitée que par des virus.
Elle empêche la détection des virus ?
Pour mémoire vous aviez annoncé un anti-virus. Je répète donc ce que j'ai toujours dit, je suis prêt à mettre mon KAV à la poubelle le jour ou vous me présenterez un remplaçant valable et moins cher.
A propos, votre superbe antivirus dit quoi de ce fichier : http://users.skynet.be/cobay/test.zip ?
Il détecte EICAR-Test-File et "désinfecte" l'archive, c'est pas bon ?
Roland Garcia
Roland Garcia wrote:
Je ne vois toujours pas le rapport entre cette vulnérabilité et les
anti-virus ......
Cette vulnérabilité n'est exploitée que par des virus.
Elle empêche la détection des virus ?
Pour mémoire vous aviez annoncé un anti-virus. Je répète donc ce que
j'ai toujours dit, je suis prêt à mettre mon KAV à la poubelle le jour
ou vous me présenterez un remplaçant valable et moins cher.
A propos, votre superbe antivirus dit quoi de ce fichier :
http://users.skynet.be/cobay/test.zip ?
Il détecte EICAR-Test-File et "désinfecte" l'archive, c'est pas bon ?
Je ne vois toujours pas le rapport entre cette vulnérabilité et les anti-virus ......
Cette vulnérabilité n'est exploitée que par des virus.
Elle empêche la détection des virus ?
Pour mémoire vous aviez annoncé un anti-virus. Je répète donc ce que j'ai toujours dit, je suis prêt à mettre mon KAV à la poubelle le jour ou vous me présenterez un remplaçant valable et moins cher.
A propos, votre superbe antivirus dit quoi de ce fichier : http://users.skynet.be/cobay/test.zip ?
Il détecte EICAR-Test-File et "désinfecte" l'archive, c'est pas bon ?
