Viren über Tauschbörsen

Internet Internet Sicherheit
1

Moin,

so, nachdem ich eben zum x-ten Mal im HEISE Newsletter was über die Virenverbreitung via Tauschbörsen gelesen habe, möchte ich’s nun wissen: sind mp3 & CO. wirklich gefährlich? Ich dachte Viren gibt’s eigentlich nur bei ausführbaren Dateien?

Gruß

Holger

2

sind mp3 & CO. wirklich gefährlich?
Ich dachte Viren gibt’s eigentlich nur bei ausführbaren
Dateien?

Kaputte Programme kann man auch mit kaputten Daten in die Irre führen und zu ungewollten Aktionen veranlassen.

Es hat da schon genügend Angriffe gegeben… Flash, Win-Media-Player, …

Prinzipiell ist da, was bei Heise beschrieben ist, also möglich, ich persönlich halte es für Panikmache.

Sebastian

3

Hallo Holger,

meine Meinung dazu: die meisten Viren sind auf die Dummheit oder von mir aus auch Unachtsamheit der User angewiesen, um überhaupt erst Schaden anzurichten.

Wenn Du Dir über eine Tauschbörse eine Datei mit dem Namen Schöneslied.mp3.vbs runterlädst und die dann auch noch anklickst, in der Erwartung den absoluten Tophit ergattert zu haben, bist Du es meiner Meinung nach selber Schuld.

Wer seinen Verstand benutzt wenn er am Rechner arbeitet, dem sollte so etwas nicht passieren.

Gruß - Achim

4

Wenn Du Dir über eine Tauschbörse eine Datei mit dem Namen
Schöneslied.mp3.vbs runterlädst und die dann auch noch
anklickst, in der Erwartung den absoluten Tophit ergattert zu
haben, bist Du es meiner Meinung nach selber Schuld.

…sach ich doch auch! Also kann ich weiterhin (halbwegs) darauf vertrauen, dass Schöneslied.mp3 auch wirklich was musikalisches ist?

Gruß

Holger

5

…sach ich doch auch! Also kann ich weiterhin (halbwegs)
darauf vertrauen, dass Schöneslied.mp3 auch wirklich was
musikalisches ist?

nein. Im ID3-tag können ganze Programme untergebracht sein die ausgeführt werden wenn du eine winamp-version benutzt die älter als 4 Monate ist, oder einen Explorer älter als 2 Monate. Eine demo-Datei dafür ist im heise-forum zu finden, klappt zuverlässig mit beiden Programmen.

Nimm SchönesLied.ogg, dafür ist zumindest noch keine funktioniernde Attakte bekannt.

cu

6

Im ID3-tag können ganze Programme untergebracht sein die
ausgeführt werden wenn du eine winamp-version benutzt die
älter als 4 Monate ist, oder einen Explorer älter als 2
Monate. Eine demo-Datei dafür ist im heise-forum zu finden,
klappt zuverlässig mit beiden Programmen.

Kannst du bitte den Link für die Demodatei posten, ich find sie nicht.

Danke
Heavy

7

Moin

Kannst du bitte den Link für die Demodatei posten, ich find
sie nicht.

Nicht mehr im Forum ? Haben die den rausgenommen ?

na gut, man kanns auch selbst basteln:

http://www.id3.org/id3v2.4.0-structure.txt

Der syn.-safe Integer muss grösser als „normale“ sein (die genaue Grenze weis ich nicht mehr auswendig, nehm mal an >64K). Wenn du’s „hardcore“ testen will setz ihn auf maximum (256MB), häng eine entsprechend grosse Datei dran (möglichst alles 00, sonst passiert irgendwas) und lass winamp 2.81 drauf loss.

viel Spass und mach das Backup VORHER.

cu

8

na gut, man kanns auch selbst basteln:

http://www.id3.org/id3v2.4.0-structure.txt

Der syn.-safe Integer muss grösser als „normale“ sein (die
genaue Grenze weis ich nicht mehr auswendig, nehm mal an
>64K). Wenn du’s „hardcore“ testen will setz ihn auf
maximum (256MB), häng eine entsprechend grosse Datei dran

Ganz so einfach ist es (zum Glück) auch nicht.

Hier die Meldung von Heise:

Sicherheitslücke durch Audio-Dateien in Windows XP
http://www.heise.de/newsticker/result.xhtml?url=/new…

Hier eine ausführliche Beschreibung, wie die sogenannten „Buffer-Overflows“ funktionieren:
http://www.heise.de/ct/01/23/216/

CU
Markus

1 „Gefällt mir“
9

Moin

Ganz so einfach ist es (zum Glück) auch nicht.

Kuck dir die dll’s an:

Es gibt eine dll (heise nennts XP-Shell, was auf’s gleiche rauskommt) die für’s auslesen der ID3-Tags zuständig ist. Diese arbeitet (wahrscheinlich noch) korrekt, allociert als Speicher für String der Länge wie sie der erste syn-safe-Int. im Header angibt. Bei der Rückgabe an Explorer (oder was auch immer auf die dll aufsetzt) wird der String in einen Buffer kopiert der vom benutzenden Programm übergeben (!) werden muss. Dabei hauts dann Explorer raus weil der immer eine bestimme Grösse (64 KB) als Maximum annimmt. (Es sind 0-terminated String die aus der dll rausfallen, ein einheitlichen Buffer macht also Sinn)

Das gleich Spiel bei Winamp:
http://www.heise.de/newsticker/result.xhtml?url=/new…

Die Bib. die die ID3-Tags ausliest ist wahrscheinlich in beiden Fällen von irgendeiner Referenzimplemtierung abgeschrieben worden. Der Player/Explorer halten sich aber an den MP3-ID3v2-Standart der keine String >64KB vorsieht.

Das man den Rechner mit einer 256MB-00 Datei nicht hackt ist klar, aber windows wirds ziemlich aus der Fassung bringen.

cu.

10

Viren über Tauschbörsen…
… ich würd einen schönen alten BADDAY gegen irgenwas nettes wie GENERIC 1 tauschen wollen :wink:

11

Bei der Rückgabe an Explorer (oder was auch
immer auf die dll aufsetzt) wird der String in einen Buffer
kopiert der vom benutzenden Programm übergeben (!) werden
muss. Dabei hauts dann Explorer raus weil der immer eine
bestimme Grösse (64 KB) als Maximum annimmt.

Das man den Rechner mit einer 256MB-00 Datei nicht hackt ist
klar, aber windows wirds ziemlich aus der Fassung bringen.

Ja, genau. Den Unterschied meinte ich. Wenn man den Buffer Overflow für einen Virus ausnutzen wollte, müsste man definierten Code zur Ausführung bringen und nicht einfach den Explorer zum Absturz.

CU
Markus

12

so so, heise gelesen… na dann …
was ist ein virus, was ist ein trojanisches pferd, was ein Wurm ???
Wenn du das verstanden hast, ist deine Frage beantwortet … !
gruß
Juller

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]