Bei wem funktioniert dieser Bug? Bei mir nicht.

Testen kann man hiermit:
http://www.gulftech.org/?node=downloads
Einfach das File jpegcompoc.zip laden und die inliegende JPG-Datei im IE ansehen.



Ich kann mir das in jedem beliebigen MS-Programm ansehen. Nur der Rechtsklick auf die Datei läßt den Windows Explorer abstürzen - der steht jedoch in der Fehlerbeschreibung nicht drin, eigentlich geht es da nur um Programme, die die Datei auch wirklich öffnen.

Bei mir stürzt da gar kein Programm ab. Nur McAfee meldet, das ein Exploit gefunden worden ist.

Antivir sagt schon beim Entpacken:
C:\TEMP\EXPLOIT\POC.JPG

Ist das Trojanische Pferd TR/Exploit.MS04-28
Nachdem ich AntiVir angewiesen habe, die Warnung zu ignorieren und die Datei zu verwenden, kommt die Meldung beim Öffnen der Datei sowohl mit ACDSee als auch mit Opera wieder. Wieder AV angewiesen zu ignorieren, dann erscheint untenstehendes Bild, ohne weitere Probleme:

Und ich dachte Kaspersky ist ein guter Viren Scanner ....

Ich starte das Zipfile und nix passiert, ich öffne das pic (allerdings mit dem Firefox) und nix passiert.

Toll der Scanner findet erst was, als ich ihm sagte die Datei zu scannen.

Ich nutze gerade die Version 4.5 (von chip) und hatte ernsthaft daran gedacht, mir die v5 zu kaufen ...

Genau dasselbe habe ich auch gerade bemerkt. Die 5er Version von Kaspersky erkennt den Exploit erst, wenn ich es manuell untersuche. Verschieben, kopieren, Drag & Drop + ausführen mit der Standardanwendung brachte KEINE Meldung. SO NE KAGGE! :(

Norton meldet sich auch erst bei manuellem Testen. Hab aber auch SmartScan an, der nur bestimmte Dateitypen im Hintergrund prüft, und da sind .jpg eben nicht dabei.

Ich habe gerade die 2005er Trial_Version ausprobiert. Die meldet sich direkt beim entpacken des Zip-Files. Und auch schon beim einfachen Verschieben des JPGs.

Edit: Allerdings wird das JPG von Norton nicht erkannt, wenn ich es direkt im Browser (weder bei Firefox, noch mit dem IE) aufrufe - ich habe es testweise auf meine Homepage kopiert. Und das ist ja das eigentlich gefährliche dabei. Ich teste aber noch weiter... :)

Genau dasselbe habe ich auch gerade bemerkt. Die 5er Version von Kaspersky erkennt den Exploit erst, wenn ich es manuell untersuche. Verschieben, kopieren, Drag & Drop + ausführen mit der Standardanwendung brachte KEINE Meldung.Der "Echtzeitmonitor" überprüft lediglich Dateien wie z.B. *.EXE, *.BAT usw. in der Standardeinstellung.
Der Virenscanner selbst überprüft normalerweise alle Dateien.

Um die Performance nicht unnötig zu drücken, prüft der Echtzeitmonitor eben keine Dateien wie z.B. JPG, die normalerweise keinen Schaden anrichten.
Im Prinzip stimmt es auch: Das Bild selbst ist nicht gefährlich, da danach erst erst weitere Schadprogramme nachgeladen werden müssen.
Diese würde der Echtzeitmonitor aber melden, da darunter mind. eine *.EXE Datei wäre...

Meistens lässt sich einstellen, welche Dateitypen im Hintergrund überprüft werden sollen...
"Alle Dateitypen" scannen zu lassen ist aber nicht zu empfehlen, da man sonst kaum noch arbeiten kann und große Verzögerungen feststellen wird.

Das Bild selbst ist nicht gefährlich, da danach erst erst weitere Schadprogramme nachgeladen werden müssen.
Falsch.

Bei einem Buffer-Overflow muss keine EXE nachgeladen werden. Es reicht in so einem Fall das reine Betrachten (vielleicht sogar schon das interne Bearbeiten in der Lib?) aus, um beliebigen Code auf deinem Rechner ausführen.

Nur der spezielle Exploit Baukasten, der im Moment die Runde macht, lädt eine EXE per URL herunter. Notwendig ist das allerdings nicht. Wie sollte der Exploit auch sonst das Programm zum Herunterladen ausführen? Hmm?

Jaja. Wozu auch .NET, Java & Co... Gell Leo? :tongue:

@theSpy
Jaja, Du hast schon Recht. Aber die Existenz dieses Exploits zeigt, dass das bisherige Scannen nicht mehr ausreicht.

Edit: Ich bin gerade auf der Suche, nach einem Proxy (fürs Surfen), der die Dateien erst auf die Platte schreibt und dann zum Browser weiterleitet. Sicher ist sicher... :)

.

Bei einem Buffer-Overflow muss keine EXE nachgeladen werden. Es reicht in so einem Fall das reine Betrachten (vielleicht sogar schon das interne Bearbeiten in der Lib?) aus, um beliebigen Code auf deinem Rechner ausführen.
Deswegen soll man ja auch Updaten. :tongue:
Außerdem wird diese Variante wohl keine große Verbreitung finden, da es schon etwas komplizierter ist, sowas hinzubekommen.

Man sollte aber nicht nur bei jpg Dateien aufpassen.
Wenn ich eine manipulierte jpg Datein in .png oder irgend ein anderes Bildformat umbenenne, öffnen die Programme das Bild immernoch als jpg. :eek:

Wer mal testen will, ob er noch irgendwelche GDI+ dlls drauf hat, die noch gepatcht werden müssen, kann sich unter http://isc.sans.org/gdiscan.php ein Scannertool downloaden.

Hmm nur Kaspersky wurde von allen so gelobt und AntiVir, welches dagegen kostenlos ist findet es sofort ...

Als ich antivir benutzte, konnte man immer sehen welche datei er zuletzt gescant hat, und wenn man eine herruntergeladen hat, hat er diese gescant und von performanceverlust, habe ich da noch nix bemerkt !

Antivir hat selbst mal auf ner lan gemeckert, als ich was vom Netzwerk ziehen wollte und sich darin ein Trojaner versteckt hatte !

Jaja. Wozu auch .NET, Java & Co... Gell Leo? :tongue:
Array range check lässt sich problemlos mit C++ machen, man muss nur wollen.

Hmm nur Kaspersky wurde von allen so gelobt und AntiVir, welches dagegen kostenlos ist findet es sofort ...

Als ich antivir benutzte, konnte man immer sehen welche datei er zuletzt gescant hat, und wenn man eine herruntergeladen hat, hat er diese gescant und von performanceverlust, habe ich da noch nix bemerkt !Wie schon gesagt: Einstellungssache!
Kaspersky findet diese Datei auch sofort! Man muss es nur richtig konfiguriert haben.

Das Scannen ALLER Dateien im Hintergrund ist jedoch eine schlechte Idee, da es zu sehr starken Performanceinbußen führt.
Beispielsweise wird dann jede Datei überprüft, die angeklickt oder ausgeführt wird.
Bei Programmen wie Office, ICQ, Browser (tausende HTML Dateien usw.), Java sind das tausende Dateien die überprüft werden müssen.

Mehrere Sekunden Verzögerung (selbst bei 3 GHz Rechnern) sind dann absolut normal.
An Spielen sollte man überhaupt nicht denken, da sollte der Virenscanner besser ausgeschaltet werden.

Ähm, eigentlich wollte ich nicht wissen, ob Eure Virenscanner anschlagen. Normalerweise sollte beim Öffnen des Bildes der IE abstürzen - das wollte ich wissen.

Ähm, eigentlich wollte ich nicht wissen, ob Eure Virenscanner anschlagen. Normalerweise sollte beim Öffnen des Bildes der IE abstürzen - das wollte ich wissen.
Nö, passiert nix (zum Glück).

System: Windows 2000 :D

Hier ebenfalls nix mit Absturz mit XP SP2.

Ähm, eigentlich wollte ich nicht wissen, ob Eure Virenscanner anschlagen. Normalerweise sollte beim Öffnen des Bildes der IE abstürzen - das wollte ich wissen.
Beim mir ist der IE auch nicht abgesemmelt. (WinXP SP2)

Nö, passiert nix (zum Glück).

System: Windows 2000 :D
dito
win 2000 kann machen was ich will passiert nix, aber bitdefender findet da was wenn ich es cheeken lasse

Ähm, eigentlich wollte ich nicht wissen, ob Eure Virenscanner anschlagen. Normalerweise sollte beim Öffnen des Bildes der IE abstürzen - das wollte ich wissen.
Passiert absolut garnichts, egal mit welchem Programm (IE, Explorer etc.) ich öffne, ist wie bei allen anderen JPEGs auch, man sieht nen Bild und das war's.

Bei mir schmiert auch nichts ab.
Nur McAfee meldet sich beim entpacken.

ok, mein AntiVir PE meldet sich jetzt wenn ich das paket entpacke (-n will) :)

Hat jemand auch das Bild auch entpackt?

wenn ich es entpacken will verwigert es mir mein Norton AntiVir 2k

Konnte es ohne Probs öffnen und ansehen.
Habe win2k und Norton Antivirus Corporate (Firmenrechener).
Nehme an ich hätte eine Virus Warnung bekommen sollen.
Werds mal dem Admin sagen.

Scanner und WindowsUpdate sind auf aktuellstem Stand.
Was soll ich eigentlich machen ?
:frown:

antivir poltert sofort los.Ich kann aber immer noch keine jpg mit dem ie öffnen.

Ähm, eigentlich wollte ich nicht wissen, ob Eure Virenscanner anschlagen. Normalerweise sollte beim Öffnen des Bildes der IE abstürzen - das wollte ich wissen.

Yep, bei mir passierts. Wenn ich nach mehreren Alarmen von AV PE das Ding entpackt habe und den IE bitte, es zu öffnen, meckert erst nochmal AV. Dann schmiert der IE ab. Beim ersten Absturz hat sich auch der komplette Desktop kurzfristig verabschiedet und neu aufgebaut.

WinXP Pro SP1

Ich möchte diesen alten Thread nochmal ausgraben, da ich endlich einen Virenscanner entdeckt habe, der die JPEGs (und alle anderen Daten) überprüft, bevor sie im Browser dargestellt werden: NOD32 ... Das besagte Bild von der Gulftech-Seite wird von Firefox nur angezeigt, wenn es vorher schon im Browsercache war. Der Scanner überprüft auch Anhänge von Webmail usw. ... Es gibt auch eine Testversion: http://www.nod32.de/download/trial.php

auch kein absturzt hier (WInXP incl SP1)

Ich möchte diesen alten Thread nochmal ausgraben, da ich endlich einen Virenscanner entdeckt habe, der die JPEGs (und alle anderen Daten) überprüft, bevor sie im Browser dargestellt werden: NOD32 ... Das besagte Bild von der Gulftech-Seite wird von Firefox nur angezeigt, wenn es vorher schon im Browsercache war. Der Scanner überprüft auch Anhänge von Webmail usw. ... Es gibt auch eine Testversion: http://www.nod32.de/download/trial.php

NOD32 habe ich seit ca. 1 Monat auch im Einsatz durch einen Tip eines Users im Chat. Das Ding ist bislang das einzige Proggie, welches mir beim Surfen im Netz 'ne Trojaner-Warnung auswirft. Ich habe mit NOD32 bei einem Kollegen den Rechner gesäubert, der trotz Firewall und Norton AV knapp 60 Viren, Trojaner und sonstiges Viehzeuchs drauf hatte.
Bei meiner Freundin gibt es damit nur Probleme aufgrund der Updates, sie surft nur mit Modem.