Archiwum dla kategorii Programy

Niedawno miałem wątpliwą przyjemność spotkania z tym niebezpiecznych trojanem. Na szczęście “spotkanie” było w pełni kontrolowane. Ale do rzeczy. Wprawdzie nie śledzę historii tego programu, ale sporo wskazuje, że właśnie ukazała się kolejna jest wersja. Przypuszczenie opieram na fakcie, iż otrzymałem plik zarażony tym trojanem, który… był szczątkowo wykrywany przez programy antywirusowe!

Test przeprowadzany przy pomocy scannera online VirusTotal wykazał, iż tylko ClamAV i VirusBuster potrafiły prawidłowo rozpoznać Ardamex, kilka innych wykryło nieznane potencjalne zagrożenie, a większość - w tym wszystkie najpopularniejsze(!) - uznały zarażony plik za czysty! Testowy system to Windows XP SP2 z zainstalowanymi aktualizacjami z maja 2007.

Dopiero odpalenie zarażonego pliku w systemie (zaznaczam, iż było to specjalnie przygotowane środowisko testowe) wykazało obecność trojana. Zainstalowany w tym systemie darmowy (i raczej kiepski, choć popularny) antywirus avast! nie zauważył niebezpieczeństwa.

Infekcja systemu przebiegała w ciekawy sposób - w jej czasie został wygenerowany plik graficzny JPG. Możliwe jest, że korzystając z nieznanej powszechnie luki w Windows w obsłudze plików graficznych, zaraził on cały OS. Jeżeli atak przy pomocy spreparowanego pliku graficznego się potwierdzi, będzie to oznaczać kolejne ogromne zagrożenie dla użytkowników systemu Windows. Są to jedynie moje przypuszczenie, nie jestem obecnie w stanie ich potwierdzić z całą pewnością.

Apple jest znana z raczej porządnie napisanych programów, a tymczasem przytrafił się jej bubel w postaci nowej wersji przeglądarki Safari oznaczonej numerem 3.0. Jasno trzeba zaznaczyć, iż dotyczy to wersji beta, co więcej tylko na platformie Windows, co jest niewątpliwie względnie nowym doświadczeniem dla Apple.

Już w kilka godzin po pojawieniu się “publicznej beta” pojawiły się pierwsze exploity o charakterze krytycznym. Jeden z nich został opisany tutaj: http://larholm.com/2007/06/12/safari-for-windows-0day-exploit-in-2-hours/

Wiele innych błędów uniemożliwia normalna pracę. Przykładem jest problem pojawiający się w momencie napisania dowolnego znaku w polu tekstowym na stronie. Prezentacja w postaci filmiku tutaj.

Większość luk i błędów została już załatana, choć należy się spodziewać, że ich miejsce zajmą następne.

Apple chwali się, że w czasie kilku dni od pojawienia się przeglądarki w wersji dla Windows, została ona ściągnięta ponad milion razy! Aczkolwiek obawiam się, że takie “niestabilne milion razy” nie wpłynie pozytywnie na wizerunek firmy i pozycję przeglądarki na rynku. Kiedyś MS wydawał kiczowatą przeglądarkę w wersja dla MacOS, teraz sytuacja się odwróciła. Czas pokaże czy jest warto. Życzę Apple jak najlepiej.

Przeglądarka internetowa Safari począwszy od wersja 3.0 będzie wspierać system Windows.

Jest dostępna już wersja beta na stronie Apple: http://www.apple.com/safari/

Przypomnę, iż safari oparta jest na tym samym silniku jak Konqueror (domyśla przeglądarka w KDE). Pod wieloma względami jest podobna do Mozilla.

Jak na razie muszę z przykrością stwierdzić, iż moja strona nie działa poprawnie pod Safari 3.0 beta, choć z wieloma innymi stronami występują podobne problemy. Niemniej jednak czeka mnie trochę pracy…

Bez wielkiego rozmachu odbyła się kilka godzin temu premiera Fedora 7. Powoli jednak serwery zaczynają odczuwać wzrastające obciążenie.

Zmiany w stosunku do poprzedniej wersji mają charakter ewolucyjny:

  • GNOME 2.18, KDE 2.5.6
  • poprawione wsparcie dla kart graficznych 3D
  • wreszcie doczekaliśmy się oficjalnej obsługi Firefox 2
  • wirtualizacja KVM
  • obsługa Sony Playstation 3 !

TeamSpeak jest programem typu VOIP do przeprowadzenia rozmów konferencyjnych, szczególnie często wykorzystywany w przypadku gier MMOG.

Nie tak dawno miałem wątpliwą przyjemność obserwowania rezultatów działania exploita na TS. Tworzył on masowo kanały, których następnie nie można było w żaden prosty sposobów usunąć, gdyż powodowały zawieszenie klienta.

Nie musiałem szukać specjalnego programów, bowiem atak jest bardzo łatwo przeprowadzić bez dodatkowych narzędzi: TS2 exploit

Atak polega na ustawieniu odpowiedniej wartości w polu Topic, gdyż ta wartość nie jest właściwie filtrowana. Nie potrafię w tech chwile określić, czy przeprowadzenie tego ataku może być poważniejsze w skutkach niż tylko zawieszenie programu klienckiego.

Ze względu, iż kod TS nie jest dostępny publicznie, jedyne co pozostaje to cierpliwie czekać na patche ze strony autorów. Doraźne lekarstwo polega na ingerencję w bazę danych i edycję lub usunięcie nieprawidłowych wpisów.

Błąd został potwierdzony w wersjach:

  • TeamSpeak 2 Client (Windows): 2.0.32.60
  • TeamSpeak 2 Server (Linux/Windows): 2.0.20.1

Dodatkowo TS2 został napisanych bez poszanowania prywatności - wszystkie hasła w bazie danych są w postaci niezaszyfrowanej!

TeamSpeak2 hasła JPG

Szkoda słów…

Prezentuję bibliotekę umożliwiającą załadowanie dowolnego kodu (w szczególności całego pliku dll) w ramy dowolnego procesu posiadającego okno.

W archiwum jest również przykładowy program ładujący przygotowaną bibliotekę do procesu systemowego Notatnika.

Przykład działa w polskiej odmianie systemu Windows XP (również SP2). Niestety nie działa w Vista.

Użycie biblioteki:

  1. Podczepiamy funkcję InjectDll to naszego kodu
    #include "injectdll.h"
    HINSTANCE dll = LoadLibraryA("hook.dll");
    InjectDll f = (InjectDll) GetProcAddress(dll, "InjectDll");
  2. Uzyskujemy HWND okna
    HWND hWnd = FindWindow(NULL, "Bez tytułu - Notatnik");
  3. Dll Inject!
    HMODULE hModule = f(hWnd, "insert.dll");


Przykład działania

Plik: Dll Injection

Nowa wersja tego znakomitego programu do szyfrowania danych jest o tyle warta uwagi, iż kolejne wersje pojawiają się nieczęsto. Wśród nowości w wersji 4.3 najbardziej znaczące wydaje się wsparcie dla systemu Microsoft Vista.

http://www.truecrypt.org

Tymczasem dnia 02.04.2007 duński serwis Secunia poinformował o problemie umożliwiającym na podpięcie zaszyfrowanego wolumenu pod katalog systemowy (na przykład: /usr/bin). Operacja ta wymaga uprawnień roota. Bezpiecznym rozwiązaniem problemu jest zdjęcie bitu uid z pliku truecrypt.

Więcej informacji na ten temat można znaleźć na stronie: http://www.securityfocus.com/archive/1/archive/1/464064/100/0/threaded