Trojan in una Gif !?

[Gianfranco]

Facendo uno scan ho trovato un trojan in un file .gif nella cartella dei
file temporanei internet!
Come è possibile in una gif, io ho pensato che era solo nominato gif, ma che
in realtà era un .exe, l'unica cosa che non capisco è perchè si trovava tra
i temporary internet file, ho pensato che forse che tra i tag HTML di
qualche sito c'era questa gif che è stata memorizzata nella cache, ma che in
realtà era gif, ma exe originariamente. Anche se fosse così non capisco il
motivo, xchè che senso ha rinominare un exe in gif, (non si può eseguire e
quindi il trojan è inoffensivo).
Questa è un ipotesi che ho fatto!
Secondo potrebbere essere giusta? o ci possono essere altri motivi?

[werted.cjb.net]

[Gianfranco]

> Anche se fosse cosě non capisco il
> motivo, xchč che senso ha rinominare un exe in gif, (non si puň eseguire e
> quindi il trojan č inoffensivo).

hai l'opzione "nascondi estensioni" abilitata?

--
se non fai parte della soluzione| http://werted.cjb.net
allora fai parte del problema |

[Gianfranco]

"werted.cjb.net" <wer...@despammed.com> ha scritto nel messaggio
news:2c3d24b6d3119cf2...@localhost.localdomain...

>
> hai l'opzione "nascondi estensioni" abilitata?
>
> --
> se non fai parte della soluzione| http://werted.cjb.net
> allora fai parte del problema |

E... non è mica così semplice.... il file l'ho trovato con anti-trojan
(questo software visualizza direttamente le estensioni dei file,
indipendentemente da windows)

[werted.cjb.net]

[Gianfranco]

> E... non è mica così semplice.... il file l'ho trovato con anti-trojan
> (questo software visualizza direttamente le estensioni dei file,
> indipendentemente da windows)

voglio dire: non e' che si chiama xxx.gif.exe e che l'opzione se
abilitata nasconde l'ultima estensione facendoti credere che sia un
.gif?

[HappyCactus]

In article <97baa46a89c47009...@localhost.localdomain>,
wer...@despammed.com says...

> voglio dire: non e' che si chiama xxx.gif.exe e che l'opzione se
> abilitata nasconde l'ultima estensione facendoti credere che sia un
> .gif?

oppure trojan.gif.{03982308...}

--
Spiacente, l'help desk e' in sciopero.
Ma questo ti puo' aiutare:
> http://www.google.com
> http://groups.google.com/advanced_group_search

[Lapalissiano]

Il Wed, 05 Jun 2002 14:15:07 GMT, "Gianfranco" <sti...@inwind.it> ha
scritto:

>Facendo uno scan ho trovato un trojan in un file .gif nella cartella dei
>file temporanei internet!

Scusa, qual'era il nome del trojan? Non e' che aveva a che fare con cose
tipo JS.SEEKER?

--
Lapalissiano
Icq 57269703

[Gianfranco]

"HappyCactus" <happy...@vene.ws> ha scritto nel messaggio
news:MPG.176866fdb...@powernews.libero.it...

> In article <97baa46a89c47009...@localhost.localdomain>,
> wer...@despammed.com says...
>
>

> oppure trojan.gif.{03982308...}
>
> --
> Spiacente, l'help desk e' in sciopero.
> Ma questo ti puo' aiutare:
> > http://www.google.com
> > http://groups.google.com/advanced_group_search

Che vuoi dire ?

[Gianfranco]

"Lapalissiano" <lapali...@people.it> ha scritto nel messaggio
news:jtnsfuc7c5aa6vbq9...@4ax.com...

> Il Wed, 05 Jun 2002 14:15:07 GMT, "Gianfranco" <sti...@inwind.it> ha
> scritto:
>
>

> Scusa, qual'era il nome del trojan? Non e' che aveva a che fare con cose
> tipo JS.SEEKER?
>
> --
> Lapalissiano
> Icq 57269703

Non ricordo qual'era il nome, perchè tu hai visto già qualcosa di simile con
deteminati trojan?

[HappyCactus]

In article <97EL8.10126$86.2...@twister1.libero.it>, sti...@inwind.it
says...

> > oppure trojan.gif.{03982308...}
> Che vuoi dire ?

Che e' possibile appendere al posto dell'estensione un class-id. Ed esso
non viene visualizzato...
L'icona, pero', potrebbe mentire

[werted.cjb.net]

[HappyCactus]

> L'icona, pero', potrebbe mentire

anche quella si puo' cambiare.

[Gianfranco]

"HappyCactus" <happy...@vene.ws> ha scritto nel messaggio

news:MPG.176938c0c...@powernews.libero.it...

Cos'è un class-id? (comunque voglio far notare che a parte le icone e le
finte estensioni, il programma che ho usato per la scansione dovrebbe
leggere l'estensione reale del file, indipendentemente dalle impostazioni di
windows)
grazie

[HappyCactus]

In article <940cc2d4385161c8...@localhost.localdomain>,
wer...@despammed.com says...

> [HappyCactus]
> > L'icona, pero', potrebbe mentire
> anche quella si puo' cambiare.

Beh... si.
Ma potrebbe essere un problema se lui non usa associazioni standard (che
so? irfanview?)

[werted.cjb.net]

[Gianfranco]

> (comunque voglio far notare che a parte le icone e le
> finte estensioni, il programma che ho usato per la scansione dovrebbe
> leggere l'estensione reale del file, indipendentemente dalle impostazioni di
> windows)

l'antivirus (o antitrojan) non si limita a leggere le estensioni dei
files, ma scansiona le stringhe identificative del virus (o del trojan).

[werted.cjb.net]

[HappyCactus]

> Ma potrebbe essere un problema se lui non usa associazioni standard (che
> so? irfanview?)

si. ma a questo punto subentra la legge dei grandi numeri. tu mandi 100
trojan e stai sicuro che almeno 90 (forse 85) hanno le associazioni
standard impostate. anche tu usi iv? bellino vero?

[HappyCactus]

In article <09f2fd5705b0ee8c...@localhost.localdomain>,
wer...@despammed.com says...

> si. ma a questo punto subentra la legge dei grandi numeri. tu mandi 100
> trojan e stai sicuro che almeno 90 (forse 85) hanno le associazioni
> standard impostate.

Vero.

> anche tu usi iv? bellino vero?

Decisamente. Soprattutto mi piace la politica freeware, che mi fa sentire
un pochino piu' pinguino anche quando non sono a casa mia - win mi ha
fatto bestemmiare non poco, oggi... >;( -

[werted.cjb.net]

[HappyCactus]

> Soprattutto mi piace la politica freeware

a chi lo dici... a forza di programmi da 10k euro l'uno mi son rovinato!

[DoktorDYn]

"Gianfranco" <sti...@inwind.it> ha scritto nel messaggio
news:L1pL8.6703$K4.1...@twister2.libero.it...

Non è che possiedi Netscape vers. 4.76, questa versione permette
l'esecuzione di codice javascript all'interno dei commenti delle immagini
.GIF, pertanto è molto pericoloso il suo uso e ne consiglio subito
l'aggiornamento alla v. 4.77.

[-Merc...@excite.it]

"Normalmente" i trojan vengono incapsulati il file .gif oppure jpg!!! Si
utilizzano dei software appositi oppure, se te ne intendi di
programmazione, bastano poche righe..;) Si usano i file di immagine
perchč il lamerozzo di turno ti manda una mail e dice: "Questa sono io
tutta nuda!!" ..tu apri il file e zack!! parte l'eseguibile...ahahahaa.
Okkio quindi ai file che vi vengono inviati da persone che conoscete
poco (anche se si tratta di file grafici)!!! ---------------- Merc was
here!!!

[HappyCactus]

In article <aeut4i$83l$1...@gossip.excite.it>, -Merc...@excite.it says...

> "Normalmente" i trojan vengono incapsulati il file .gif oppure jpg!!! Si

Ah si? ROTFL

> utilizzano dei software appositi oppure, se te ne intendi di
> programmazione, bastano poche righe..;)

Cioe', scusa.... allora io ti mando la gif o jpg troianizzata, tu la
visualizzi e ... come verrebbe estratto ? con il software apposito... e
se io non ce l'ho?

> Si usano i file di immagine

> perchè il lamerozzo di turno ti manda una mail e dice: "Questa sono io
> tutta nuda!!"

si, si, certo.... l'ho letto anche io.... era, mi pare, quel numero in
cui l'uomo ragno veniva clonato e...

> ..tu apri il file e zack!! parte l'eseguibile...ahahahaa.

Ma allora.... e' una gif o un eseguibile? deciditi!

> Okkio quindi ai file che vi vengono inviati da persone che conoscete
> poco (anche se si tratta di file grafici)!!!

Si, si... certo... bravo.

--
don't feed the troll
partecipa anche tu all'iniziativa:
"il primo fanculo ? quello che conta"
killa in silenzio, vivi felice

[Fabio Invernizzi]

HappyCactus <happy...@vene.ws> wrote:
> In article <aeut4i$83l$1...@gossip.excite.it>, -Merc...@excite.it says...

>> "Normalmente" i trojan vengono incapsulati il file .gif oppure jpg!!! Si

> Ah si? ROTFL

In effetti io ho avuto la "sfiga" di avere un fotografo che mi ha
riempito di metadata (IPTC e APP1) delle jpg.

Risultato: in molte versioni di IE/Outlook sembra crashare il componente
che visualizza le immagini e a meno di riavviare IE non vedi piu` nessuna
jpg. Non tutte le versioni di IE hanno il problema: io l'ho verficato sul
PC di un amico con IE6/XP e poi mi sono arrivate un certo numero di email
che mi segnalavano il problema. NS/Mozilla sulla stessa macchina non ha
problemi.

Ovviamente non parlerei di "trojan" come -Mercuzio- ma sicuramente c'e`
la potenzialita` di un DoS e forse anche di un exploit.

Per i piu` curiosi:
http://www.inter.it/sminchia-ie.html
(il problema si verifica solo per immagini inline in pagine html, non sa
caricate direttamente nel browser)

Fabio.

[HappyCactus]

In article <af41a4$245$2...@attila.bofh.it>, ab...@inter.it says...

> Risultato: in molte versioni di IE/Outlook sembra crashare il componente
> che visualizza le immagini e a meno di riavviare IE non vedi piu` nessuna
> jpg. Non tutte le versioni di IE hanno il problema: io l'ho verficato sul

Appunto: Come ho spiegato (non ricordo se nel post di questo thread o su
un altro) il codice inglobato nella jpg viene attivato da una componente
esterna, nel caso del virus di cui si parlava era un eseguibile o una
libreria, nel caso di questo un baco in una precisa versione di un
software diffuso. un po' come nimda...

> NS/Mozilla sulla stessa macchina non ha
> problemi.

Ovvio. Buffer Overflow...

> Ovviamente non parlerei di "trojan" come -Mercuzio- ma sicuramente c'e`
> la potenzialita` di un DoS e forse anche di un exploit.

Probabile. pero', ripeto, tali vulnerabilita' sono relative soltanto a
software particolarissimi (in tipo, versione, e a volte anche singola
configurazione)

[Ale]

> Per i piu` curiosi:
> http://www.inter.it/sminchia-ie.html
> (il problema si verifica solo per immagini inline in pagine html, non sa
> caricate direttamente nel browser)

L'immagine in questione contiene dati in formato XML; probabilmente il
problema è causato da una funzionalità di IE che tenta di determinare il
tipo MIME di un file indipendentemente da quello specificato dal server
(questo penso solo se i file sono trasferiti via HTTP e non se sono
locali). La funzione in questione è descritta all'indirizzo
http://msdn.microsoft.com/workshop/networking/moniker/overview/appendix_a.asp

[cippalamz]

mi sono perso l'inizio del thread scusate, ma vorrei aggiundere alcune cose
..

> "Normalmente" i trojan vengono incapsulati il file .gif oppure jpg!!!

solo recentemente m'han detto di un virus che infetta i .jpg ma non ho ben
chiaro
perche' dovrebbe partire l'infezione.

in ogni caso, l'inserimento di codice maligno all'interno di formati non
eseguibili
e' una cosa abbastanza scontata. tempo fa' si discusse di un potenziale
exploit
su netscape che poteva avvenire con una jpg decentemente malformata :)
la stessa cosa vale per l'exploit sulle zlib e sul fatto che dei file .zip
volutamente
infetti avrebbero potuto sfruttare questa vulnerabilita' per essere aperti
ed
infettare pur non essendo un eseguibile.

ciao ciao

[HappyCactus]

In article <9FdS8.4847$Jj7.1...@news1.tin.it>, cippa...@sposalizi.net
says...

> > "Normalmente" i trojan vengono incapsulati il file .gif oppure jpg!!!
> solo recentemente m'han detto di un virus che infetta i .jpg ma non ho ben
> chiaro
> perche' dovrebbe partire l'infezione.

Nei post passati di ics.virus se n'e' parlato, non piu' di una settimana
fa. Mi pare che il subj fosse qualche cosa del tipo "immagini a rischio"
o qualche cosa di simile...

> e' una cosa abbastanza scontata. tempo fa' si discusse di un potenziale
> exploit
> su netscape che poteva avvenire con una jpg decentemente malformata :)

Beh, qui se n'e' parlato tantissimo, una della faq piu' faq e' proprio
"ma le immagini possono portare virus?" e la risposta e' ovviamente "si,
ma o non funzionano, o sono legate ad un particolare baco di una
particolare versione di un particolare software non patchato".

PS: Metti a posto quella R:, a proposito di pacth....

PS/2: ma non ti avevo nel mio killfile?

[-Merc...@excite.it]

L'ironia l'accetto ma quando viene da persone competetenti... Per
chiunque si intenda un pochino di sicurezza informatica, il fatto che i
trojan vengono inviati tramite "fusione" degli stessi in file grafici è
un dato di fatto non un racconto di fantascienza. Prova a postare la
stessa domanda nei vari forum dei siti che si interessano di hacking e
controlla la risposta..... Tanto per informazione uno dei programmini
che fanno questo si chiama "silkerope", controlla pure.

[HappyCactus]

In article <afc3s9$bqi$1...@gossip.excite.it>, -Merc...@excite.it says...

> Tanto per informazione uno dei programmini
> che fanno questo si chiama "silkerope", controlla pure.

Il risultato, o sommo[1] achero, e' un eseguibile o una immagine? [2]

[1] s/m/ar/2
[2] comunque il nome e' "silkrope", filo di seta

[-Merc...@excite.it]

Visto che non credi a me..dai uno sguardo a questo articolo (anche se
semplice, è sufficientemente chiaro)
http://www.mircscript.it/articoli/trojan.html

[-Merc...@excite.it]

Trojan e virus non sono la stessa cosa, no???

[HappyCactus]

In article <afc8ue$dkq$1...@gossip.excite.it>, -Merc...@excite.it says...

> Visto che non credi a me..dai uno sguardo a questo articolo (anche se
> semplice, è sufficientemente chiaro)

Ma perche' non quoti e non rispondi alla domanda?!?
Il risultato e' un'immagine o un eseguibile?

HappyCactus con un tremendo sospetto

[-Merc...@excite.it]

Non sto parlando di un virus che infetta i jpg (anche il mio inglese è
pessimo o non capito bene l'articolo????) ma di una cosa diversa!!! E
daglie co sta storia di silkerope e silkrope, puo capitare di digitare
male, vi attaccate a queste piccolezze?? Non mi piacciono le polemiche
(non sono mai costruttive) quindi credo che questo forum non faccia per
me...

[Ale]

> Tanto per informazione uno dei programmini
> che fanno questo si chiama "silkerope", controlla pure.

Peccato che si chiami silkrope e che serva a fondere due *eseguibili*...