jpeg && vers

Tweakie

30/08/2003 à 02:56

Message :

Bonjour docteurs,

Bonjour,

Je me pose deux questions différentes:
1)Suite à un petit questionnaire rempli ce matin meme, je me demande si un
virus pourrait etre transmis dans un vrai fichier jpeg ou autre type d'image,
pas une double extension, je sais qu'il y a quelques temps un fichier png
permettait d'exploiter un bug dans la zlib et du coup openssh etait
vulnérable.

Oui, en l'occurence il s'agissait d'un DoS, mais il etait specifie' que le bug
pouvait eventuellement servir a executer du code malveillant sur la machine
distante.

Est ce qu'un buffer overflow, par exemple dans le logiciel de courrier ou une
de ses extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

En theorie, c'est envisageable, et pas forcement en ciblant le logiciel de
courrier. On pourrait par exemple imaginer d'exploiter un buffer overflow dans
un lecteur de mp3 vulnerable en lui fournissant un mp3 specialement modifie' a
cet effet. Certains ont fait plus que l'imaginer, d'ailleurs [1]
Dans son/leur "advisory" Gobbles essaie d'ailleurs de faire croire qu'un vers
a ete' developpe' pour le compte de la RIAA qui se rependrait par ce biais
pour punir les echanges illegaux de mp3 (et certains l'ont cru ;-) ).

La difficulte' pratique est cependant enorme :
- Pour que le vers puisse se propager, il faudrait que le logiciel vulnerable
servant a lire le document (mail, mp3, etc...) corrompu soit suffisement
repandu. Mieux, il faudrait qu'une meme version (ou qu'un ensemble de versions
vulnerable exactement de la meme maniere) soit suffisemment repandue. Toutefois,
avec des logiciels comme Winamp [2], Adobe Acrobat Reader [3] ou
Windows Media Player [4], ca pourrait marcher (d'autant mieux que le vers
exploiterait un "nouveau" bug).

- Il faudrait parvenir a "faire tenir le vers" dans la place laissee libre
par le buffer overflow, ce qui constitue une difficulte' majeure. Pour que
le vers puisse s'executer sur l'ensemble des versions de windows NT/2000/XP,
il faudrait en effet utiliser une technique similaire a celle employee par les
shellcodes generiques : recherche de l'adresse de Kertnel32.DLL, recherche de
GetProcAddr(), de LoadLibraryA(), puis ecrire le code du vers lui-meme [5][6].

Un "virus de documents" est donc theoriquement envisageable, mais difficilement
realisable en pratique. Et il semble assez peu probable que l'ensemble des
conditions necessaires a une vaste diffusion soit reunie.

Malgre' tout, je suis surpris qu'aucun virus/vers de ce type n'aie encore vu
le jour (car on peut aussi bien envisager un virus qu'un vers).

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux,

La majorite' des vers n'exploitent pas de failles. Ils se contentent de
s'auto-envoyer par mail parce que les utilisateurs cliquent sans reflechir
sur des pieces jointes infectees.

ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

S'il se reproduit, c'est un virus. Si en plus il se propage via le reseau,
c'est un vers. La plupart ne se greffent pas au code d'executables sains
(LoveLetter, par exemple), mais il existe des vers qui sont aussi infecteurs
de fichiers, Magistr par exemple [7].

[1] http://www.securitytracker.com/alerts/2003/Jan/1005918.html
[2] http://archives.neohapsis.com/archives/ntbugtraq/2000-q1/0008.html
[3] http://www.k-otik.com/bugtraq/07.01.Adobe.php
[4] http://www.securityfocus.com/bid/2677/discussion/
[5] http://www.chez.com/mvm/RW32GS.txt
[6] Olivier Dembour 2003 , L'ecriture de Shellcode Generiques sous Windows,
MISC magazine n.8 pp62-67
[7] http://www.viruslist.com/eng/VirusList.asp?idA70

--
Tweakie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/

Message :

Bonjour docteurs,

Bonjour,

Je me pose deux questions différentes:
1)Suite à un petit questionnaire rempli ce matin meme, je me demande si un
virus pourrait etre transmis dans un vrai fichier jpeg ou autre type d'image,
pas une double extension, je sais qu'il y a quelques temps un fichier png
permettait d'exploiter un bug dans la zlib et du coup openssh etait
vulnérable.

Oui, en l'occurence il s'agissait d'un DoS, mais il etait specifie' que le bug
pouvait eventuellement servir a executer du code malveillant sur la machine
distante.

Est ce qu'un buffer overflow, par exemple dans le logiciel de courrier ou une
de ses extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

En theorie, c'est envisageable, et pas forcement en ciblant le logiciel de
courrier. On pourrait par exemple imaginer d'exploiter un buffer overflow dans
un lecteur de mp3 vulnerable en lui fournissant un mp3 specialement modifie' a
cet effet. Certains ont fait plus que l'imaginer, d'ailleurs [1]
Dans son/leur "advisory" Gobbles essaie d'ailleurs de faire croire qu'un vers
a ete' developpe' pour le compte de la RIAA qui se rependrait par ce biais
pour punir les echanges illegaux de mp3 (et certains l'ont cru ;-) ).

La difficulte' pratique est cependant enorme :
- Pour que le vers puisse se propager, il faudrait que le logiciel vulnerable
servant a lire le document (mail, mp3, etc...) corrompu soit suffisement
repandu. Mieux, il faudrait qu'une meme version (ou qu'un ensemble de versions
vulnerable exactement de la meme maniere) soit suffisemment repandue. Toutefois,
avec des logiciels comme Winamp [2], Adobe Acrobat Reader [3] ou
Windows Media Player [4], ca pourrait marcher (d'autant mieux que le vers
exploiterait un "nouveau" bug).

- Il faudrait parvenir a "faire tenir le vers" dans la place laissee libre
par le buffer overflow, ce qui constitue une difficulte' majeure. Pour que
le vers puisse s'executer sur l'ensemble des versions de windows NT/2000/XP,
il faudrait en effet utiliser une technique similaire a celle employee par les
shellcodes generiques : recherche de l'adresse de Kertnel32.DLL, recherche de
GetProcAddr(), de LoadLibraryA(), puis ecrire le code du vers lui-meme [5][6].

Un "virus de documents" est donc theoriquement envisageable, mais difficilement
realisable en pratique. Et il semble assez peu probable que l'ensemble des
conditions necessaires a une vaste diffusion soit reunie.

Malgre' tout, je suis surpris qu'aucun virus/vers de ce type n'aie encore vu
le jour (car on peut aussi bien envisager un virus qu'un vers).

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux,

La majorite' des vers n'exploitent pas de failles. Ils se contentent de
s'auto-envoyer par mail parce que les utilisateurs cliquent sans reflechir
sur des pieces jointes infectees.

ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

S'il se reproduit, c'est un virus. Si en plus il se propage via le reseau,
c'est un vers. La plupart ne se greffent pas au code d'executables sains
(LoveLetter, par exemple), mais il existe des vers qui sont aussi infecteurs
de fichiers, Magistr par exemple [7].

[1] http://www.securitytracker.com/alerts/2003/Jan/1005918.html
[2] http://archives.neohapsis.com/archives/ntbugtraq/2000-q1/0008.html
[3] http://www.k-otik.com/bugtraq/07.01.Adobe.php
[4] http://www.securityfocus.com/bid/2677/discussion/
[5] http://www.chez.com/mvm/RW32GS.txt
[6] Olivier Dembour 2003 , L'ecriture de Shellcode Generiques sous Windows,
MISC magazine n.8 pp62-67
[7] http://www.viruslist.com/eng/VirusList.asp?idA70

--
Tweakie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/

Vous avez filtré cet utilisateur ! Consultez son message

Message :

Bonjour docteurs,

Bonjour,

Je me pose deux questions différentes:
1)Suite à un petit questionnaire rempli ce matin meme, je me demande si un
virus pourrait etre transmis dans un vrai fichier jpeg ou autre type d'image,
pas une double extension, je sais qu'il y a quelques temps un fichier png
permettait d'exploiter un bug dans la zlib et du coup openssh etait
vulnérable.

Oui, en l'occurence il s'agissait d'un DoS, mais il etait specifie' que le bug
pouvait eventuellement servir a executer du code malveillant sur la machine
distante.

Est ce qu'un buffer overflow, par exemple dans le logiciel de courrier ou une
de ses extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

En theorie, c'est envisageable, et pas forcement en ciblant le logiciel de
courrier. On pourrait par exemple imaginer d'exploiter un buffer overflow dans
un lecteur de mp3 vulnerable en lui fournissant un mp3 specialement modifie' a
cet effet. Certains ont fait plus que l'imaginer, d'ailleurs [1]
Dans son/leur "advisory" Gobbles essaie d'ailleurs de faire croire qu'un vers
a ete' developpe' pour le compte de la RIAA qui se rependrait par ce biais
pour punir les echanges illegaux de mp3 (et certains l'ont cru ;-) ).

La difficulte' pratique est cependant enorme :
- Pour que le vers puisse se propager, il faudrait que le logiciel vulnerable
servant a lire le document (mail, mp3, etc...) corrompu soit suffisement
repandu. Mieux, il faudrait qu'une meme version (ou qu'un ensemble de versions
vulnerable exactement de la meme maniere) soit suffisemment repandue. Toutefois,
avec des logiciels comme Winamp [2], Adobe Acrobat Reader [3] ou
Windows Media Player [4], ca pourrait marcher (d'autant mieux que le vers
exploiterait un "nouveau" bug).

- Il faudrait parvenir a "faire tenir le vers" dans la place laissee libre
par le buffer overflow, ce qui constitue une difficulte' majeure. Pour que
le vers puisse s'executer sur l'ensemble des versions de windows NT/2000/XP,
il faudrait en effet utiliser une technique similaire a celle employee par les
shellcodes generiques : recherche de l'adresse de Kertnel32.DLL, recherche de
GetProcAddr(), de LoadLibraryA(), puis ecrire le code du vers lui-meme [5][6].

Un "virus de documents" est donc theoriquement envisageable, mais difficilement
realisable en pratique. Et il semble assez peu probable que l'ensemble des
conditions necessaires a une vaste diffusion soit reunie.

Malgre' tout, je suis surpris qu'aucun virus/vers de ce type n'aie encore vu
le jour (car on peut aussi bien envisager un virus qu'un vers).

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux,

La majorite' des vers n'exploitent pas de failles. Ils se contentent de
s'auto-envoyer par mail parce que les utilisateurs cliquent sans reflechir
sur des pieces jointes infectees.

ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

S'il se reproduit, c'est un virus. Si en plus il se propage via le reseau,
c'est un vers. La plupart ne se greffent pas au code d'executables sains
(LoveLetter, par exemple), mais il existe des vers qui sont aussi infecteurs
de fichiers, Magistr par exemple [7].

[1] http://www.securitytracker.com/alerts/2003/Jan/1005918.html
[2] http://archives.neohapsis.com/archives/ntbugtraq/2000-q1/0008.html
[3] http://www.k-otik.com/bugtraq/07.01.Adobe.php
[4] http://www.securityfocus.com/bid/2677/discussion/
[5] http://www.chez.com/mvm/RW32GS.txt
[6] Olivier Dembour 2003 , L'ecriture de Shellcode Generiques sous Windows,
MISC magazine n.8 pp62-67
[7] http://www.viruslist.com/eng/VirusList.asp?idA70

--
Tweakie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/

Robert CHERAMY

30/08/2003 à 09:31

Bonjour,

ronald wrote:

Je me pose deux questions différentes: 1)Suite à un petit questionnaire
rempli ce matin meme, je me demande si un virus pourrait etre transmis
dans un vrai fichier jpeg ou autre type d'image, pas une double extension,

Oui, s'il existe un logiciel recevant et affichant des images provenant de
l'extérieur permet un buffer overflow sur une image.
Cibles : navigateurs sur des pages web (mais le ver à des soucis à se
retransmettre, pas évident de savoir atteindre la page web de
l'utilisateur, donc plus une backdoor q'un vers...) ou lecteur de mail (les
pif marchent déjà très bien, mais pourquoi pas). Typiquement, on peut aussi
faire des combinaisons de vulnérabilités, c'est plus rigolo :-)

je sais qu'il y a quelques temps un fichier png permettait d'exploiter un
bug dans la zlib et du coup openssh etait vulnérable.

Ouhla, problème de logique ici.
Il y avait un bug dans la zlib, DONC openssh et les visualiseurs de png
utilisant la zlib étaient vulnérables.

Est ce qu'un buffer
overflow, par exemple dans le logiciel de courrier ou une de ses
extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

Oui.

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux, ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

Je dirais que le virus se cantonne au pourissage d'exécutables / disquettes
et se comporte comme un parasite lors du transfert de cet
executable/disquette à un autre utilisateur. Il n'est pas actif dans la
transmission en dehors de la machine infectée.

Le vers se transmet tout seul d'ordinateur en ordinateur, enutilisant le
Réseau. Il se propage donc beaucoup plus vite et si possible sans
intervention humaine.

A ce titre, lovsan est clairement un vers. Sobig nécessite (*) qu'un
utilisateur ouvre le fichier attaché (donc intervention humaine) mais se
transmet tout seul, donc j'aurais tendance à parler de vers également.

(*) Ou Sobig exploite-t il une faille d'outlook ?
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!

Bonjour,

ronald wrote:

Je me pose deux questions différentes: 1)Suite à un petit questionnaire
rempli ce matin meme, je me demande si un virus pourrait etre transmis
dans un vrai fichier jpeg ou autre type d'image, pas une double extension,

Oui, s'il existe un logiciel recevant et affichant des images provenant de
l'extérieur permet un buffer overflow sur une image.
Cibles : navigateurs sur des pages web (mais le ver à des soucis à se
retransmettre, pas évident de savoir atteindre la page web de
l'utilisateur, donc plus une backdoor q'un vers...) ou lecteur de mail (les
pif marchent déjà très bien, mais pourquoi pas). Typiquement, on peut aussi
faire des combinaisons de vulnérabilités, c'est plus rigolo :-)

je sais qu'il y a quelques temps un fichier png permettait d'exploiter un
bug dans la zlib et du coup openssh etait vulnérable.

Ouhla, problème de logique ici.
Il y avait un bug dans la zlib, DONC openssh et les visualiseurs de png
utilisant la zlib étaient vulnérables.

Est ce qu'un buffer
overflow, par exemple dans le logiciel de courrier ou une de ses
extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

Oui.

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux, ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

Je dirais que le virus se cantonne au pourissage d'exécutables / disquettes
et se comporte comme un parasite lors du transfert de cet
executable/disquette à un autre utilisateur. Il n'est pas actif dans la
transmission en dehors de la machine infectée.

Le vers se transmet tout seul d'ordinateur en ordinateur, enutilisant le
Réseau. Il se propage donc beaucoup plus vite et si possible sans
intervention humaine.

A ce titre, lovsan est clairement un vers. Sobig nécessite (*) qu'un
utilisateur ouvre le fichier attaché (donc intervention humaine) mais se
transmet tout seul, donc j'aurais tendance à parler de vers également.

(*) Ou Sobig exploite-t il une faille d'outlook ?
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour,

ronald wrote:

Je me pose deux questions différentes: 1)Suite à un petit questionnaire
rempli ce matin meme, je me demande si un virus pourrait etre transmis
dans un vrai fichier jpeg ou autre type d'image, pas une double extension,

Oui, s'il existe un logiciel recevant et affichant des images provenant de
l'extérieur permet un buffer overflow sur une image.
Cibles : navigateurs sur des pages web (mais le ver à des soucis à se
retransmettre, pas évident de savoir atteindre la page web de
l'utilisateur, donc plus une backdoor q'un vers...) ou lecteur de mail (les
pif marchent déjà très bien, mais pourquoi pas). Typiquement, on peut aussi
faire des combinaisons de vulnérabilités, c'est plus rigolo :-)

je sais qu'il y a quelques temps un fichier png permettait d'exploiter un
bug dans la zlib et du coup openssh etait vulnérable.

Ouhla, problème de logique ici.
Il y avait un bug dans la zlib, DONC openssh et les visualiseurs de png
utilisant la zlib étaient vulnérables.

Est ce qu'un buffer
overflow, par exemple dans le logiciel de courrier ou une de ses
extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

Oui.

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux, ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

Je dirais que le virus se cantonne au pourissage d'exécutables / disquettes
et se comporte comme un parasite lors du transfert de cet
executable/disquette à un autre utilisateur. Il n'est pas actif dans la
transmission en dehors de la machine infectée.

Le vers se transmet tout seul d'ordinateur en ordinateur, enutilisant le
Réseau. Il se propage donc beaucoup plus vite et si possible sans
intervention humaine.

A ce titre, lovsan est clairement un vers. Sobig nécessite (*) qu'un
utilisateur ouvre le fichier attaché (donc intervention humaine) mais se
transmet tout seul, donc j'aurais tendance à parler de vers également.

(*) Ou Sobig exploite-t il une faille d'outlook ?
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!

Robert CHERAMY

30/08/2003 à 09:32

Bonjour,

ronald wrote:

Je me pose deux questions différentes: 1)Suite à un petit questionnaire
rempli ce matin meme, je me demande si un virus pourrait etre transmis
dans un vrai fichier jpeg ou autre type d'image, pas une double extension,

Oui, s'il existe un logiciel recevant et affichant des images provenant de
l'extérieur permet un buffer overflow sur une image.
Cibles : navigateurs sur des pages web (mais le ver à des soucis à se
retransmettre, pas évident de savoir atteindre la page web de
l'utilisateur, donc plus une backdoor q'un vers...) ou lecteur de mail (les
pif marchent déjà très bien, mais pourquoi pas). Typiquement, on peut aussi
faire des combinaisons de vulnérabilités, c'est plus rigolo :-)

je sais qu'il y a quelques temps un fichier png permettait d'exploiter un
bug dans la zlib et du coup openssh etait vulnérable.

Ouhla, problème de logique ici.
Il y avait un bug dans la zlib, DONC openssh et les visualiseurs de png
utilisant la zlib étaient vulnérables.

Est ce qu'un buffer
overflow, par exemple dans le logiciel de courrier ou une de ses
extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

Oui.

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux, ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

Je dirais que le virus se cantonne au pourissage d'exécutables / disquettes
et se comporte comme un parasite lors du transfert de cet
executable/disquette à un autre utilisateur. Il n'est pas actif dans la
transmission en dehors de la machine infectée.

Typiquement, les macros Office sont des virus parasitant leur support.

Le vers se transmet tout seul d'ordinateur en ordinateur, enutilisant le
Réseau. Il se propage donc beaucoup plus vite et si possible sans
intervention humaine.

A ce titre, lovsan est clairement un vers. Sobig nécessite (*) qu'un
utilisateur ouvre le fichier attaché (donc intervention humaine) mais se
transmet tout seul, donc j'aurais tendance à parler de vers également.

(*) Ou Sobig exploite-t il une faille d'outlook ?
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!

Bonjour,

ronald wrote:

Je me pose deux questions différentes: 1)Suite à un petit questionnaire
rempli ce matin meme, je me demande si un virus pourrait etre transmis
dans un vrai fichier jpeg ou autre type d'image, pas une double extension,

Oui, s'il existe un logiciel recevant et affichant des images provenant de
l'extérieur permet un buffer overflow sur une image.
Cibles : navigateurs sur des pages web (mais le ver à des soucis à se
retransmettre, pas évident de savoir atteindre la page web de
l'utilisateur, donc plus une backdoor q'un vers...) ou lecteur de mail (les
pif marchent déjà très bien, mais pourquoi pas). Typiquement, on peut aussi
faire des combinaisons de vulnérabilités, c'est plus rigolo :-)

je sais qu'il y a quelques temps un fichier png permettait d'exploiter un
bug dans la zlib et du coup openssh etait vulnérable.

Ouhla, problème de logique ici.
Il y avait un bug dans la zlib, DONC openssh et les visualiseurs de png
utilisant la zlib étaient vulnérables.

Est ce qu'un buffer
overflow, par exemple dans le logiciel de courrier ou une de ses
extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

Oui.

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux, ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

Je dirais que le virus se cantonne au pourissage d'exécutables / disquettes
et se comporte comme un parasite lors du transfert de cet
executable/disquette à un autre utilisateur. Il n'est pas actif dans la
transmission en dehors de la machine infectée.

Typiquement, les macros Office sont des virus parasitant leur support.

Le vers se transmet tout seul d'ordinateur en ordinateur, enutilisant le
Réseau. Il se propage donc beaucoup plus vite et si possible sans
intervention humaine.

A ce titre, lovsan est clairement un vers. Sobig nécessite (*) qu'un
utilisateur ouvre le fichier attaché (donc intervention humaine) mais se
transmet tout seul, donc j'aurais tendance à parler de vers également.

(*) Ou Sobig exploite-t il une faille d'outlook ?
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour,

ronald wrote:

Je me pose deux questions différentes: 1)Suite à un petit questionnaire
rempli ce matin meme, je me demande si un virus pourrait etre transmis
dans un vrai fichier jpeg ou autre type d'image, pas une double extension,

Oui, s'il existe un logiciel recevant et affichant des images provenant de
l'extérieur permet un buffer overflow sur une image.
Cibles : navigateurs sur des pages web (mais le ver à des soucis à se
retransmettre, pas évident de savoir atteindre la page web de
l'utilisateur, donc plus une backdoor q'un vers...) ou lecteur de mail (les
pif marchent déjà très bien, mais pourquoi pas). Typiquement, on peut aussi
faire des combinaisons de vulnérabilités, c'est plus rigolo :-)

je sais qu'il y a quelques temps un fichier png permettait d'exploiter un
bug dans la zlib et du coup openssh etait vulnérable.

Ouhla, problème de logique ici.
Il y avait un bug dans la zlib, DONC openssh et les visualiseurs de png
utilisant la zlib étaient vulnérables.

Est ce qu'un buffer
overflow, par exemple dans le logiciel de courrier ou une de ses
extensions, pourrait permettre une contamination? J'aurais tendance à
penser que oui, mais je ne suis pas sur d'avoir raison.

Oui.

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux, ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

Je dirais que le virus se cantonne au pourissage d'exécutables / disquettes
et se comporte comme un parasite lors du transfert de cet
executable/disquette à un autre utilisateur. Il n'est pas actif dans la
transmission en dehors de la machine infectée.

Typiquement, les macros Office sont des virus parasitant leur support.

Le vers se transmet tout seul d'ordinateur en ordinateur, enutilisant le
Réseau. Il se propage donc beaucoup plus vite et si possible sans
intervention humaine.

A ce titre, lovsan est clairement un vers. Sobig nécessite (*) qu'un
utilisateur ouvre le fichier attaché (donc intervention humaine) mais se
transmet tout seul, donc j'aurais tendance à parler de vers également.

(*) Ou Sobig exploite-t il une faille d'outlook ?
--
Robert CHERAMY <http://robert.cheramy.net/>
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!

JacK

30/08/2003 à 11:50

sur les news:,
ronald signalait:

Bonjour docteurs,

Je me pose deux questions différentes: 1)Suite à un petit
questionnaire rempli ce matin meme, je me demande si un virus
pourrait etre transmis dans un vrai fichier jpeg ou autre type
d'image, pas une double extension, je sais qu'il y a quelques temps
un fichier png permettait d'exploiter un bug dans la zlib et du coup
openssh etait vulnérable. Est ce qu'un buffer overflow, par exemple
dans le logiciel de courrier ou une de ses extensions, pourrait
permettre une contamination? J'aurais tendance à penser que oui, mais
je ne suis pas sur d'avoir raison.

Une possibilité que je n'ai pas encore vue exploitée par un malware avec une

image dynamique, comme celles qui permettent d'afficher à la réception d'un
message en HTLM ton IP et ton navigateur.
Comme celle-ci par exemple : http://amg.sytes.net/panneau3.php?idpano630
qu'il suffit d'encapsuler. Il est envisageable de mettre autre chose qu'un
script innoccent et renverrait sur une page qui chargerait un trojan par
exemple, il ne serait pas dans l'image mais l'exploit possible grâce à
l'image.
--
JacK

Frederic Bonroy

31/08/2003 à 12:49

ronald wrote:

2)J'ai cherché (un peu) la definition d'un ver, mais je ne vois pas ce
qui le caractérise, est ce son mode de propagation: par le réseau, est
ce le fait qu'il exploite une faille ou les deux, ou il y a encore autre
chose.Est ce qu'il se reproduit (la définition des virus) si il ne se
greffe pas au code des executables *sains* alors qu'il se propage tout de
meme?

C'est hélas un peu compliqué. Si on voulait se faciliter la vie,
on dirait qu'un virus se reproduit en se greffant au code exécutable
et qu'un ver se propage tout seul d'un ordinateur à l'autre et qu'il
n'en existe donc qu'un exemplaire par ordinateur.

Mais pourquoi faire simple quand on peut faire compliqué? En effet,
certains considèrent que les vers sont une catégorie de virus, ce qui
bouleverse complètement ce que je viens de dire. Les virus sont donc
réduits à de simples programmes qui se reproduisent/propagent (car les
vers ne s'attachent pas à des hôtes), quelle que soit la manière dont
ils le font. Le virus tel que je l'ai décrit ci-dessus n'a,
contrairement au ver, plus de désignation propre...

jpeg && vers

5 réponses

Veuillez sélectionner un problème