Kan een trojan in een .srt of .jpg zitten? * - Privacy en beveiliging

maandag 16 oktober 2006 17:35

Acties:

Verwijderd

Topicstarter

Hoi,

Ik heb een paar vragen over trojans. Ik dacht namelijk dat trojans alleen je systeem kunnen binnenkomen als je een of ander programma runt met een trojan erin. Maar laatst downloade ik een .zip file met daarin een .srt (subtitle) file en een .jpeg file. In beiden bleken een trojan te zitten, want als ik er een uit de .zip file in een filedirectory deed, kreeg ik gelijk van mijn Norton antivirus een bericht dat hij de (.srt of .jpeg) file had gedelete.

Ik vroeg me af hoe een trojan in je systeem kan (proberen) te komen zonder dat je de file met de trojan erin opent. En ik vroeg me ook af of je snel aan een .srt of .jpeg file kan zien of er een trojan in zit, zonder dan elke keer die met een virusscanner die file te checken. In ieder geval alvast bedankt voor iedere hulp! $_/-\o_$

dinsdag 17 oktober 2006 03:23

Acties:

pasta

Ondertitel

Wat had je zelf al gevonden? Een .jpg zou wellicht gebruik kunnen maken van een exploit. Je zou op de hoogte kunnen blijven door security-sites te volgen zoals Security Focus e.d.

Ik vind het echter wel raar dat Norton een .srt flagt als malware, die dingen bestaan meestal alleen maar uit tekst.

Signature

dinsdag 17 oktober 2006 08:15

Acties:

chromeeh

the Gnome

pasta schreef op dinsdag 17 oktober 2006 @ 03:23:
Wat had je zelf al gevonden? Een .jpg zou wellicht gebruik kunnen maken van een exploit. Je zou op de hoogte kunnen blijven door security-sites te volgen zoals Security Focus e.d.

Ik vind het echter wel raar dat Norton een .srt flagt als malware, die dingen bestaan meestal alleen maar uit tekst.

Of de SRT heeft een fingerprint die over eenkomt met een trojan, maar dat lijkt me inderdaad niet logisch...

"Some day, I hope to find the nuggets on a chicken."

dinsdag 17 oktober 2006 08:26

Acties:

elTigro

Es un Gringo!

Misschien dat Norton alles uit die zip file als potentially slecht flagt omdat dat .jpg filetje een trojan heeft... Een soort van ' waar je mee omgaat wordt je mee besmet' ofzo
Lijkt me niet logisch... maar ik heb gemerkt dat dingen die ik logisch vind door anderen wel eens heel anders bekeken worden.

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

dinsdag 17 oktober 2006 16:50

Acties:

Verwijderd

Topicstarter

Bedankt voor jullie replies! Ik had zelf natuurlijk al op google gezocht, maar ik kon er weinig over vinden. Waarschijnlijk mag ik hier niet een directe link naar de trojan posten, maar als je er indirect naar linkt halen we het evengoed nog weg

[ Voor 18% gewijzigd door pasta op 18-10-2006 01:49 ]

dinsdag 17 oktober 2006 18:27

Acties:

Verwijderd

Het zijn hernoemde EXE bestanden, beide Prorat backdoors.

woensdag 18 oktober 2006 21:01

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

^^ Hernoemen kan altijd natuurlijk. Zolang de extentie echt .srt is (en niet .srt.exe) en srt is gekoppeld aan bijv kladblok zal je er dus behalve schreeuwende virusscanners geen last van hebben. (Correct me if I'm wrong).
Al is een buffer overflow in bijv een jpg natuurlijk ook prima mogelijk zolang er bepaalde dlls heel veel gebruikt worden, zoals een tijdje terug werd bewezen.

Ik pas de titel even wat aan trouwens, 'trojan' zegt zo weinig over je vraag.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 20 oktober 2006 10:32

Acties:

elTigro

Es un Gringo!

F_J_K schreef op woensdag 18 oktober 2006 @ 21:01:
Al is een buffer overflow in bijv een jpg natuurlijk ook prima mogelijk zolang er bepaalde dlls heel veel gebruikt worden, zoals een tijdje terug werd bewezen.
.

Ik moest deze zin even 2 x lezen

Je hebt het zeker over die vulnerability in de MS routines voor .jpgs?

Wat ik me afvraag eigenlijk, Ik open zelf .jpg's altijd met ACDC. Nou ja, plaatjes die ik heb gedownload dan. Hoe kun je eigenlijk zien welke dll's (of welke routines eventueel) een binary als ACDC.exe gebruikt? Onder Linux kun je ldd gebruiken, maar onder windows?

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

vrijdag 20 oktober 2006 11:01

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ja, daar doelde ik op

Onder Windows: bijv. Microsoft's eigen Dependency Walker.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 20 oktober 2006 11:08

Acties:

elTigro

Es un Gringo!

Kijk, vriendelijk bedankt.

Maar om even op het onderwerp terug te komen. Je kon onder windows toch een groot aantal soorten bestandsnamen opgeven, van .bat tot .scr, omdat windows bij het openen van zo'n file eerst zelf het file gaat analyseren en naar aanleiding daarvan de desbetreffende actie gaat uitvoeren?
Een .exe die naar een .bat gerenamed wordt (prachtig nederlands dit) wordt nog steeds uitgevoerd, terwijl dit eigenlijk niet hoort...

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

vrijdag 20 oktober 2006 11:18

Acties:

vosss

pasta schreef op dinsdag 17 oktober 2006 @ 03:23:

Ik vind het echter wel raar dat Norton een .srt flagt als malware, die dingen bestaan meestal alleen maar uit tekst.

Misschien staat er in die srt wel gewoon X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*