W32/Swen@MM |
Willkommen, Gast ( Anmelden | Registrierung )
W32/Swen@MM |
22.09.2003, 22:44
Beitrag
#21
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Um noch mal auf JFK`s Frage zurückzukommen. Warum kommt der Wurm in manchen Fällen als .wav Datei? Hier mit Media Player 8 gestartet passiert (logischerweise) außer einer Fehlermeldung nichts. Gibt es möglicherweise irgendwelche Anfälligkeiten im Media Player (evtl. in Version 9) oder was soll das Ganze ???
-------------------- (-- Roman --)
|
|
|
23.09.2003, 00:24
Beitrag
#22
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.373 Mitglied seit: 15.04.2003 Wohnort: Monaco di Baviera Mitglieds-Nr.: 20 |
ZITAT(Rokop @ 22. September 2003, 23:43) Um noch mal auf JFK`s Frage zurückzukommen. Warum kommt der Wurm in manchen Fällen als .wav Datei? Hier kommt bei den Bounce-Fakes immer sowas wie "Content-Type: audio/x-wav; name="ffxhc.exe". Das wäre also eine EXE, die mit einem falschen Content-Type geliefert würde!? Kenn mich nicht wirklich gut damit aus. Wenn sich das Mailprogramm (richtigerweise?) nach dem Content-Type und nicht nach der Endung richtet, wird Winamp (oder Coolplayer,Mediaplayer,....) gestartet. Das Programm kann aber mit der EXE nichts damit anfangen. Möglicherweise richtet sich OE (wo u.U. der IFrame-Exploit schlagend wird) aber nicht nach Content-Type, sondern (fälschlicherweise?) nach Dateiendung? Dann wird die EXE ausgeführt -> INFEKTION. Wenn das alles Blödsinn ist -> CMIIW. Yopie -------------------- But don’t forget the songs that made you cry And the songs that saved your life Yes, you’re older now, and you’re a clever swine But they were the only ones who ever stood by you. |
|
|
23.09.2003, 07:54
Beitrag
#23
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
So, ich habe die Lösung. Ich habe mir die Dateien mal näher angeschaut und festgestellt, daß es in Wirklichkeit .exe Dateien sind, die bloß eine falsche Dateiendung haben.
Yopie, Du könntest zwar Recht haben, dann müßte es aber eine doppelte Dateiendung oder so geben. In diesem Fall sind es tatsächlich .wav Files und somit nicht mehr direkt ausführbar. Ich kann es mir also nur so erklären, daß dies ein Fehler in der Verbreitungsroutine des Wurmes ist. -------------------- (-- Roman --)
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 29.03.2024, 09:14 |