Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V  < 1 2  
Closed TopicStart new topic
> W32/Swen@MM
Rokop
Beitrag 22.09.2003, 22:44
Beitrag #21



Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Um noch mal auf JFK`s Frage zurückzukommen. Warum kommt der Wurm in manchen Fällen als .wav Datei? Hier mit Media Player 8 gestartet passiert (logischerweise) außer einer Fehlermeldung nichts. Gibt es möglicherweise irgendwelche Anfälligkeiten im Media Player (evtl. in Version 9) oder was soll das Ganze ???


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
Yopie
Beitrag 23.09.2003, 00:24
Beitrag #22



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



ZITAT(Rokop @ 22. September 2003, 23:43)
Um noch mal auf JFK`s Frage zurückzukommen. Warum kommt der Wurm in manchen Fällen als .wav Datei?

Hier kommt bei den Bounce-Fakes immer sowas wie "Content-Type: audio/x-wav; name="ffxhc.exe".
Das wäre also eine EXE, die mit einem falschen Content-Type geliefert würde!? Kenn mich nicht wirklich gut damit aus.

Wenn sich das Mailprogramm (richtigerweise?) nach dem Content-Type und nicht nach der Endung richtet, wird Winamp (oder Coolplayer,Mediaplayer,....) gestartet. Das Programm kann aber mit der EXE nichts damit anfangen.

Möglicherweise richtet sich OE (wo u.U. der IFrame-Exploit schlagend wird) aber nicht nach Content-Type, sondern (fälschlicherweise?) nach Dateiendung? Dann wird die EXE ausgeführt -> INFEKTION.

Wenn das alles Blödsinn ist -> CMIIW. wink.gif

Yopie


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 23.09.2003, 07:54
Beitrag #23



Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



So, ich habe die Lösung. Ich habe mir die Dateien mal näher angeschaut und festgestellt, daß es in Wirklichkeit .exe Dateien sind, die bloß eine falsche Dateiendung haben.
Yopie, Du könntest zwar Recht haben, dann müßte es aber eine doppelte Dateiendung oder so geben. In diesem Fall sind es tatsächlich .wav Files und somit nicht mehr direkt ausführbar. Ich kann es mir also nur so erklären, daß dies ein Fehler in der Verbreitungsroutine des Wurmes ist.


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post

2 Seiten V  < 1 2
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 09:14
Impressum