Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  20 3131
kris33
48 14
30. desember 2005
Åpne disse linkene i hvilken som helst nettleser på pcen som skal bli infisert. IKKE GJØR DET PÅ DIN EGEN PC.

iframeurl . biz / dl / xpladv470.wmf
beehappyy. biz / parthner3 / xpl.wmf

[mellomrom må fjernes]
Grimdoc
Pip-Boy 3000
Grimdoc's Avatar
Donor
4.066 963
30. desember 2005
Ja, hva blir pc'en infisert med? hva gjør "viruset" ?
meitemark
meitemark's Avatar
DonorAdministrator
10.154 4.181
30. desember 2005
Laster ned en eller annen dum trojan som herper maskinen din.
voldern
Karravolin
voldern's Avatar
1.254 146
30. desember 2005
[COLOR=Red]Account closed due terms violation[/COLOR]
vidarlo
Trigonoceps occipita
vidarlo's Avatar
Donor
27.682 31.078
30. desember 2005
Buffer overflow i WMP vel? Ikkje noko nytt. Var en upatcha buffer-overflow i libpng som MS brukte... vart patcha for ei stund sida though.

MS sine produkt er usikre.
Zpeef
Pesta kommer
Zpeef's Avatar
1.143 11
30. desember 2005
Ikke gå inn på det der. Denne filmen viser hva som skjer.
Tias
med fruktkjøtt.
Tias's Avatar
Crew
6.232 2.258
30. desember 2005
Haha, jeg trodde jeg var safe siden jeg kjørte OS X, men jaggu hadde jeg ikke en versjon av WMP liggende også! Bah, humbug. "kill" fikser jo opp uansett.
gillebo
655 7
30. desember 2005
Sitat av kris33
Åpne disse linkene i hvilken som helst nettleser på pcen som skal bli infisert. IKKE GJØR DET PÅ DIN EGEN PC.

iframeurl . biz / dl / xpladv470.wmf
beehappyy. biz / parthner3 / xpl.wmf

[mellomrom må fjernes]
Vis hele sitatet...
Haha, tviler på at du er 70modell

Foresten hva er vitsen med å gjøre dette? : p
Sist endret av gillebo; 30. desember 2005 kl. 19:02.
Zpeef
Pesta kommer
Zpeef's Avatar
1.143 11
30. desember 2005
Sitat av Tias
Haha, jeg trodde jeg var safe siden jeg kjørte OS X, men jaggu hadde jeg ikke en versjon av WMP liggende også! Bah, humbug. "kill" fikser jo opp uansett.
Vis hele sitatet...
Dette er ikke et WMP problem.
WHAT IS IT?
There is a new exploit out that uses WMF (windows metafile format) files to infect a computer. All you have to do to get infected is view a webpage that has the image on it, or access an infected image that is on your computer. That means the forums can be a vector for infection too. (In fact, user Blue Reptile has already been permabanned for putting the exploit in his signature.)


WHO IS VULNERABLE?
The exploit affects Firefox, Internet Explorer, and any other browser that displayes or downloads the file into the cache on the local machine. The file could also be a WMF renamed to any other image type, or possible other filetypes. Anything that puts the image exploit onto your computer or opens it up in windows fax viewer or the part of windows that generates thumbnails of WMF files is a vulnerability. This means any vector that puts the image onto your computer (wget, browser, email, IM, etc) can potentially cause the problem.

This affects anyone on Windows (98, 98SE, ME, 2000, XP, 2003). USING FIREFOX DOES NOT ELIMINATE THE RISK as the file is still downloaded to your cache in most cases, but it does reduce your chances somewhat since the image is often not displayed in the browser. But if you then interact with the file in any way (thumbnail it, Google Desktop, hover over with the mouse) that causes it to be handled by the windows subsystem responsible for WMF then you will have problems. Once again, YOU CAN BE CAUGHT BY THIS EXPLOIT EVEN IF THE IMAGE DOES NOT SHOW IN THE BROWSER. If you use Windows, your system is vulnerable.




WHAT DOES IT DO?
The exploit can be used to drop viruses, trojans, installers etc onto your computer when the exploit is activated (when the file is parsed by the part of windows with the problem). It does not do anything by itself until it is activated. There have been several reports of trojans being downloaded, which then download other things, other spyware, etc. Some of these are "SpyAxe", "AYL" trojan downloader, "ASC" trojan, and other stuff.
Vis hele sitatet...
Tias
med fruktkjøtt.
Tias's Avatar
Crew
6.232 2.258
30. desember 2005
Sååå, basiclly, det som skjedde hos meg var at WMP hang seg opp? Jeg trykte på filmlinken din jeg, gikk ut ifra det var exploit i praksis.
kris33
Trådstarter
48 14
30. desember 2005
Er det noen som vet hvordan man bruker denne exploiten selv? Til å installere ting på viserens pc. Ikke til ondsinnede ting, men som f.eks installere godsinnet programvare på viserens pc.

Metasploit har exploiten, men jeg sjønte ikke hvordan man skulle bruke den.
vidarlo
Trigonoceps occipita
vidarlo's Avatar
Donor
27.682 31.078
30. desember 2005
Jepp, tok feil når eg sa det var wmp. Tenkte ikkje heilt, og såg wm?
Uansett, buffer overflow.
Slikt skjer. Problemet er at i windows skjer det i kjerna. I ImageMagick på ei Unix-plattform ville det i verste fall skjedd i user-space...
tR0ll33t
tR0ll33t's Avatar
50 0
30. desember 2005
Ok, så det er en kjent xpl0it da? Vil da den innebygde windows update funksjonen, som mange bruker, kunne nedlaste automatisk en sikkerhets-patch som løser akkurat dette problemet? Eller kommer det en slik patch til windoze?
Sist endret av Nichotin; 13. januar 2006 kl. 20:54. Grunn: Poster med høy 1337-fjortissfaktor er irritterende å lese.
Zpeef
Pesta kommer
Zpeef's Avatar
1.143 11
30. desember 2005
Sitat av tR0ll33t
Ok, så det er en kjent xpl0it da? Vil da den innebygde \/\/i|/|d0z3 |_|pd4t3 funksjonen, som mange bruker, kunne nedlaste automatisk en sikkerhets-patch som løser akkurat dette problemet? Eller kommer det en slik p4t(h til windoze?
Vis hele sitatet...
LOLZ m$ windoze!!!1111

Det har ikke kommet en patch enda. Foreløpig så er det også bare Nod32 antivirus som klarer å blokkere exploiten, de andre blokkerer bare trojanene som blir lagt inn.
tR0ll33t
tR0ll33t's Avatar
50 0
30. desember 2005
Uansett hvis det er tilfellet, kan jo crackerne, dersom dem er skikkelig 1337, lage et program som disasembler windows update på brukerens maskin og legger inn ny kode i patche-funksjonen som gjør at windows update laster ned en masse infisert dritt i stedet for sikkerhets-patchene. Siden windows update baserer seg på klient-server prinsippet der klienten søker i register evt. kjernen, så danner en status, og så laster ned patch fra en server, som installeres og deretter kjøres etter restart av maskinen, da kan klient-delen vel modifiseres til å gjøre akkurat som koderen vil tenker jeg... ;-)

NB: Alstå jeg mistenker det for å basere seg på klient-server program prinsippet.
Jeg er ikke sikker på hvordan windows update fungerer, om det er noe særlig avansert eller integrert i kjernesystemt vet jo ikke jeg.
Sist endret av Nichotin; 13. januar 2006 kl. 20:52.
Zpeef
Pesta kommer
Zpeef's Avatar
1.143 11
30. desember 2005
Sitat av tR0ll33t
Uansett hvis det er tilfellet, kan jo (_ra(_kerne, dersom dem er skikkelig 1337, lage et program som disasembler windows update på brukerens maskin og legger inn ny kode i patche-funksjonen som gjør at windows update laster ned en masse infisert dritt i stedet for sikkerhets-patchene. Siden windows update baserer seg på klient-server prinsippet der klienten søker i register evt. kjernen, så danner en status, og så laster ned patch fra en server, som installeres og deretter kjøres etter restart av maskinen, da kan klient-delen vel modifiseres til å gjøre akkurat som koderen vil tenker jeg... ;-)

NB: Alstå jeg mistenker det for å basere seg på klient-server program prinsippet.
Jeg er ikke sikker på hvordan windows update fungerer, om det er noe særlig avansert eller integrert i kjernesystemt vet jo ikke jeg.
Vis hele sitatet...
Jo, men når de allerede har full gang til pcen kan de jo like så gjerne sperre Windows Update, og laste opp så mye dritt som mulig. (Slik som de gjør nå)

Vær grei og dropp ord som "(_ra(_kerne"
tR0ll33t
tR0ll33t's Avatar
50 0
2. januar 2006
Ojsann, jeg tror jeg har fått den allerede. Det åpner seg bare en nettside i Mozilla plutselig med jevne mellomrom. Så spør den om jeg vil laste ned en wmf fil. Tror dette er en dialer, og denne skiten starter Mozilla selv til og med. Så jeg blir nødt å få tak i Nod32 hvis jeg skal bli kvitt det?
Zpeef
Pesta kommer
Zpeef's Avatar
1.143 11
2. januar 2006
Nod32 er nok det beste, men det finnes definisjoner til en del andre anti virus nå.

Her er testen av den første exploiten:
AntivirusVersion Update Result
AntiVir 6.33.0.7012.31.2005EXP/IMG.WMF
Avast 4.6.695.012.30.2005Win32:Exdown
AVG 718 12.30.2005no virus found
Avira 6.33.0.7012.31.2005EXP/IMG.WMF
BitDefender7.2 12.31.2005Exploit.Win32.WMF-PFV
CAT-QuickHeal8.00 12.31.2005no virus found
ClamAV devel-2005112312.29.2005Exploit.WMF.A
DrWeb 4.33 12.31.2005no virus found
eTrust-Iris7.1.194.012.30.2005no virus found
eTrust-Vet12.4.1.012.31.2005Win32/Worfo
Ewido 3.5 12.31.2005no virus found
Fortinet2.54.0.012.31.2005W32/WMF-exploit
F-Prot 3.16c 12.30.2005no virus found
Ikarus 0.2.59.012.31.2005Exploit.Win32.IMG-WMF
Kaspersky4.0.2.2412.31.2005Exploit.Win32.IMG-WMF
McAfee 4663 12.30.2005Exploit-WMF
NOD32v2 1.1347 12.30.2005Win32/TrojanDownloader.Wmfex
Norman 5.70.10 12.31.2005W32/Exploit.Gen
Panda 9.0.0.4 12.31.2005Exploit/Metafile
Sophos 4.01.0 12.30.2005Exp/WMF-A
Symantec8.0 12.31.2005Bloodhound.Exploit.56
TheHacker5.9.1.06512.31.2005Exploit/WMF
UNA 1.83 12.30.2005no virus found
VBA32 3.10.5 12.30.2005no virus found
Vis hele sitatet...
Her er testen av den nye
AntivirusVersion Update Result
AntiVir 6.33.0.7012.31.2005no virus found
Avast 4.6.695.012.30.2005no virus found
AVG 718 12.30.2005no virus found
Avira 6.33.0.7012.31.2005no virus found
BitDefender7.2 12.31.2005no virus found
CAT-QuickHeal8.00 12.31.2005no virus found
ClamAV devel-2005112312.29.2005no virus found
DrWeb 4.33 12.31.2005no virus found
eTrust-Iris7.1.194.012.30.2005no virus found
eTrust-Vet12.4.1.012.31.2005no virus found
Ewido 3.5 12.31.2005no virus found
Fortinet2.54.0.012.31.2005no virus found
F-Prot 3.16c 12.30.2005no virus found
Ikarus 0.2.59.012.31.2005no virus found
Kaspersky4.0.2.2412.31.2005no virus found
McAfee 4663 12.30.2005no virus found
NOD32v2 1.1347 12.30.2005no virus found
Norman 5.70.10 12.31.2005no virus found
Panda 9.0.0.4 12.31.2005no virus found
Sophos 4.01.0 12.30.2005no virus found
Symantec8.0 12.31.2005no virus found
TheHacker5.9.1.06512.31.2005no virus found
UNA 1.83 12.30.2005no virus found
VBA32 3.10.5 12.30.2005no virus found
Vis hele sitatet...
▼ ... over en uke senere ... ▼
kris33
Trådstarter
48 14
10. januar 2006
Sjekk denne linken: http://www.irongeek.com/i.php?page=videos/metasploitwmf