MP3 virus...

Anton V Zhbankov написал(а) к All в May 02 23:42:16 по местному времени:

Greetings, All.

WinAmp 2.79 сделал возможным существование МР3-вирусов
01-05-2002 15:00:54

Представители компании Nullsoft, занимающейся разработкой популярного MP3-
проигрывателя WinAmp, признали, что ошибка в коде одной из старых версий
проигрывателя представляет опасность для пользователей. Ошибка в Winamp 2.79
приводит к тому, что компьютерный террорист при помощи специального ID3v2-тэга
в МР3-файле может вызвать переполнение буфера на компьютере жертвы и,
воспользовавшись этим, исполнить произвольный фрагмент кода.

[lenta.ru]

... Номера нодов в нодлисте расположены похабно.
--- Welcome to Darkness, mortal!

Miroslav Shakhmaykin написал(а) к All в May 02 23:38:04 по местному времени:

/Я не вижу Ваших рук, Anton!!!/

Четверг Май 02 2002 в 23:42 меня разбудил тревожный писк модема. Оказалось, что
Anton V Zhbankov послал письмо к All. А вот и оно:

AVZ> WinAmp 2.79 сделал возможным существование МР3-вирусов
<skip-p-ed>
AVZ> [lenta.ru]
WinAmp 2.80 уже пофиксен в этом плане.

/Желаю удачи, Anton!/
/Жду ответа, как астроном комету. Слава./

--- GoldED+/W32 1.1.5-20020105

Alexander Ryzhov написал(а) к Dmitry Zavyalov в May 02 14:28:50 по местному времени:

Нi Dmitry,

DZ> Брядятина! срыв стека в winamp?

аа :)) Дмитрий ! открой глаза, мир ужасен, и все уже давно прибывают в панике
:)))

а в винампе не одно переполнение буфера нашлось ;) то о котором тут идет речь
это видемо http://www.security.nnov.ru/search/d...asp?docid=2849

DZ> еще в paint'е посрывай...

дык ведь и сорвут ! ведь им раз плюнуть, хаккерам-то всяким злобным ! :))

Bye ..
Alexander Ryzhov

--- WP/95 Rel 1.78E (215.0) Reg.

Dmitry Valdov написал(а) к Dmitry Zavyalov в May 02 15:37:44 по местному времени:

From: Dmitry Valdov <dv@dv.ru>

Dmitry Zavyalov <Dmitry.Zavyalov@f123.n5015.z2.fidonet.org> wrote:

> AVZ> Представители компании Nullsoft, занимающейся разработкой популярного
> AVZ> MP3- проигрывателя WinAmp, признали, что ошибка в коде одной из старых
> AVZ> версий проигрывателя представляет опасность для пользователей. Ошибка
> AVZ> в Winamp 2.79 приводит к тому, что компьютерный террорист при помощи
> AVZ> специального ID3v2-тэга
> AVZ> в МР3-файле может вызвать переполнение буфера на компьютере жертвы и,
> AVZ> воспользовавшись этим, исполнить произвольный фрагмент кода.

> Брядятина!
> срыв стека в winamp? еще в paint'е посрывай... Если уж в аугглюке дырок куча,
> так вирусы и пользуются... А я чегой-то пока не видел летающих по инету
> "зараженных" mp3... Тем паче сложно предположить, что структура для такого
> большого объема данных, как ID3v2 выделяется на стеке, а учудить срыв при
> выделении в куче - почти нереально... Плюс учти, что шеллкод будет не только
> разным для разных ОС, но и для одной ОС с разными сервиспаками...

Експлоит написать возможно, хотя и сложно. Вот тут посмотри:
http://www.security.nnov.ru/search/d...asp?docid=2849

Dmitry.
--- ifmail v.2.15dev5

Dmitry Zavyalov написал(а) к Anton V Zhbankov в May 02 15:29:50 по местному времени:

Thursday, May 02 2002, Anton V Zhbankov wrote to All:

AVZ> Представители компании Nullsoft, занимающейся разработкой популярного
AVZ> MP3- проигрывателя WinAmp, признали, что ошибка в коде одной из старых
AVZ> версий проигрывателя представляет опасность для пользователей. Ошибка
AVZ> в Winamp 2.79 приводит к тому, что компьютерный террорист при помощи
AVZ> специального ID3v2-тэга
AVZ> в МР3-файле может вызвать переполнение буфера на компьютере жертвы и,
AVZ> воспользовавшись этим, исполнить произвольный фрагмент кода.

Брядятина!
срыв стека в winamp? еще в paint'е посрывай... Если уж в аугглюке дырок куча,
так вирусы и пользуются... А я чегой-то пока не видел летающих по инету
"зараженных" mp3... Тем паче сложно предположить, что структура для такого
большого объема данных, как ID3v2 выделяется на стеке, а учудить срыв при
выделении в куче - почти нереально... Плюс учти, что шеллкод будет не только
разным для разных ОС, но и для одной ОС с разными сервиспаками...

Regards,DZ.

... Шоб вы так жили, как прибедняетесь!
---

Anton V Zhbankov написал(а) к Alexander Myodov в May 02 12:12:16 по местному времени:

Greetings, Alexander.

03 May 02 23:00, Alexander Myodov -> Anton V Zhbankov

AZ>> в МР3-файле может вызвать переполнение буфера на компьютере
AZ>> жертвы и, воспользовавшись этим, исполнить произвольный фрагмент
AZ>> кода.
AM> png, mp3... Кто следующий? txt?

IMНO можно в mp3 переполнение вызвать через ID3V2 Tag. Там zlib используется,
а вспомнив о недавно найденных ошибках в последней...

... Нас Reboot, а мы крепчаем
--- in the air: Stratovarius - Stratosphere

Vsevolod Marmer написал(а) к Alexander Myodov в May 02 23:19:48 по местному времени:

Приветствую, Alexander.

04 Май 02 00:00, Alexander Myodov писал(а,о,и) Anton V Zhbankov, а я нагло
влез:

AZ>> жертвы и, воспользовавшись этим, исполнить произвольный фрагмент
AZ>> кода.
AM> png, mp3... Кто следующий? txt?
Разумеется. Непосредственно при вводе с клавиатуры.

-= Вс.В.Мармер =-

--- GoldDead+/W32 1.1.5-0802

Alexander Myodov написал(а) к Anton V Zhbankov в May 02 23:00:40 по местному времени:

Приветствую, Anton!

02 Май 02 23:42, Anton V Zhbankov писал All:

AZ> в МР3-файле может вызвать переполнение буфера на компьютере жертвы и,
AZ> воспользовавшись этим, исполнить произвольный фрагмент кода.
png, mp3... Кто следующий? txt?

До встречи!
Александр aka Нoneyman

--- AuED+/W32 1.1.5-20020105