Virus in MP3, kan dat?

ja maar da's niet gevaarlijk....een mp3 is namelijk niet uitvoerbaar als programma. Screensavers e.d wel.

.SCR extensie's worden door een windows DLL afgehandeld toch? en beetje hetzelfde als dat .MP3 door winamp (oid) worden afgehandeld

.SCR extensies zijn op zichzelf geen uitvoerbare bestanden, evenals .MP3 dus.. het zou dus best mogelijk kunnen zijn (theoretisch)

.scr is weldegelijk een uitvoerbaar bestand. verander de extinctie maar eens in .exe en het werkt ook. zelfs als je een .exe bestand veranderd in .scr en je steld die dan in als je screen saver dan wordt dat programma gewoon gestart.
volgens mijn is het dan wel een uitvoerbaar bestand.

met een mp3 werkt dat niet d8 ik, dan heb je wel een player nodig.

een scr is een programma, een mp3 is een bestand dat wordt gelezen door een ander programma, er wordt niets uitgevoerd uit een mp3, alleen gelezen en omgezet in geluid.

Nee, je kunt geen virii hebben in een mp3, je kunt wél een virus hebben in een scr.

Wat wel kan is dat een virus zich kopiëert onder de naam van een MP3 in dezelfde map, en achter de extensie .vbs toevoegd. De MP3 zelf blijft wel op de schijf staan maar wordt verborgen gemaakt. Het LoveLetter-virus (en varianten) doet dat.

Erger is het dat het virus ook jpg-tjes aantast. In dat geval gebeurd bijna hetzelfde als bij MP3-tjes, zij het alleen dat de oorspronkelijke bestanden niet worden verborgen, maar gewist!

Op zondag 16 december 2001 14:47 schreef Ferdo het volgende:

Erger is het dat het virus ook jpg-tjes aantast. In dat geval gebeurd bijna hetzelfde als bij MP3-tjes, zij het alleen dat de oorspronkelijke bestanden niet worden verborgen, maar gewist!

zeg maar dag tegen je porno collectie

Op zondag 16 december 2001 16:54 schreef Metalium- het volgende:

[..]

zeg maar dag tegen je porno collectie

Volgens mij is de maker van dat virus één of andere moraalridder. Behalve als het om virusschrijven gaat, dan.

Een virus in een mp3

Ja, ze zeiden in 1985 ook dat een virus in een .doc niet mogelijk was

Op maandag 17 december 2001 17:02 schreef F_J_K het volgende:
Ja, ze zeiden in 1985 ook dat een virus in een .doc niet mogelijk was

Mwoah, het tegendeel is wel bewezen, geloof ik!

Maar ontopic: in het geval van het LoveLetter-virus (in al zijn soorten/varianten) zit het virus ook niet in een MP3, maar "leent" het alleen de bestandsnamen van MP3's op je schijf. Het zit niet in een MP3 zelf. Correct me if I'm wrong!

Op maandag 17 december 2001 17:02 schreef F_J_K het volgende:
Ja, ze zeiden in 1985 ook dat een virus in een .doc niet mogelijk was

Dat ís ook niet mogelijk. Je kunt een virus hebben in een macro, waarbij die macro dan wordt opgenomen in een .doc. Het .doc zelf is tekst, net als txt of rtf (maar dan anders ), en wordt dus niet uitgevoerd. Het document heeft dus geen virus, maar een in het document opgenomen macro heeft dat.

Als je je Word documenten opslaat als rtf zul je ook nooit virii in je docs hebben, want dan kunnen de evt. macro's niet mee. Programma's als staroffice of abiword slaan bestanden op als .doc in rtf formaat. Veilige docs dus. Maar M$ heeft VBS in hun office suite opgenomen als "hulpmiddel" en dat vervolgens meer rechten gegeven op een systeem dan de gemiddelde gebruiker. Visual Basic Script zuigt.

Op zondag 16 december 2001 16:57 schreef Ferdo het volgende:

[..]

Volgens mij is de maker van dat virus één of andere moraalridder. Behalve als het om virusschrijven gaat, dan.

Er is niks illegaals aan het schrijven van een virus hoor.
Alleen het distributeren ervan is illegaal

.

[ Voor 99% gewijzigd door Engineer op 14-10-2018 09:45 ]

Goed, voor de duidelijkheid: een virus in een mp3 kan *niet*.

Wat wel kan, is een executable file (met daarin een virus) die de extensie .mp3 heeft, maar dit is dan geen mp3 file (maar een exe met de verkeerde extensie).
Ik weet niet hoe windows met zo'n file omgaat (of dat hij hem dus opstart of af probeert te spelen).

Wat ook kan, is dat een file een dubbele extensie heeft (blaat.mp3.exe of blaat.mp3.vbs bijvoorbeeld) en dat Windows met die "feature" van een hide known extensions de '.exe' of '.vbs' niet laat zien, en er dus 'blaat.mp3' overblijft, wat een lekker onschuldige file lijkt.

Op dinsdag 18 december 2001 00:36 schreef deadinspace het volgende:
Wat ook kan, is dat een file een dubbele extensie heeft (blaat.mp3.exe of blaat.mp3.vbs bijvoorbeeld) en dat Windows met die "feature" van een hide known extensions de '.exe' of '.vbs' niet laat zien, en er dus 'blaat.mp3' overblijft, wat een lekker onschuldige file lijkt.

Ja, maar als je dan .mp3 ziet staan als die functie uitgeschakeld is, dan weet je dat dit niet de originele extensie is.

maar er blijven knuppels die toch het ding opstarten

Op dinsdag 18 december 2001 10:53 schreef terw_dan het volgende:

[..]

Ja, maar als je dan .mp3 ziet staan als die functie uitgeschakeld is, dan weet je dat dit niet de originele extensie is.

maar er blijven knuppels die toch het ding opstarten

True, maar het feit dat de originele extensie verborgen wordt schept wel veel onduidelijkheid.

HELP IK HEB DIT VIRUS!
al mijn mp3's zijn nu vbs!
Al mijn jpg's ook!

Ik heb geen virusscanner meer.

HOE LOS IK DIT OP???

Eigen schuld dikke bult...

Heb zelf ook flink wat files verloren door virii, maar ik vind ook dat dat mijn eigen schuld was... Geen virusscanner.. het is kiezen of delen voor mij, performance of veiligheid.

En ik had een mp3'tje dat perfect afspeelde in winamp, maar waarvan norten (2002 en CE 7.5) zeiden dat ie geinfecteerd was. En toch een echt mp3'tje!!

ja ik weet ook wel dat het mijn eigen schuld is!

iemand toch een oplossing behavel een virusscanner kopen want dat weet ik ook wel.

Kan je niet bij tucows een trial downloaden?

http://tucows.wau.nl/system/preview/195385.html

edit:link toegevoegd

Op dinsdag 18 december 2001 18:07 schreef seppie het volgende:
HELP IK HEB DIT VIRUS!
al mijn mp3's zijn nu vbs!
Al mijn jpg's ook!

Ik heb geen virusscanner meer.

HOE LOS IK DIT OP???

del *.mp3
del *.vbs
del *.jpg
del *.jpeg

Op dinsdag 18 december 2001 19:38 schreef Duinkonijn het volgende:

[..]

del *.mp3
del *.vbs
del *.jpg
del *.jpeg

format c: is ook wel handig.
werkt nog beter als een virusscanner zelfs!

Op dinsdag 18 december 2001 18:19 schreef axis het volgende:
En ik had een mp3'tje dat perfect afspeelde in winamp, maar waarvan norten (2002 en CE 7.5) zeiden dat ie geinfecteerd was. En toch een echt mp3'tje!!

Dan lult die virusscanner vrolijk uit zijn nek.
Virusscanners zoeken (afaik) naar bepaalde strings (die in specifieke virussen voorkomen), en als exact zo'n string toevallig ook in een mp3 voorkomt, bestempelt de virusscanner die mp3 als een virus.
En dat 'heuristics' gebeuren maakt de zaak er niet betrouwbaarder op... Gokken wat een programma wil gaan doen. Kan idd raar uitpakken als je een mp3 als een programma ziet.

Op dinsdag 18 december 2001 00:36 schreef deadinspace het volgende:
Goed, voor de duidelijkheid: een virus in een mp3 kan *niet*.

Ben ik het niet geheel mee eens. Stel je hebt een bug in winamp gevonden, waarbij je dmv een foute MP3 een buffer kunt overflowen en zo code kunt uitvoeren. Je kunt dan een mp3 maken waarin een virus zit verstopt. Dat virus zou zich kunnen voortplanten dmv tooltjes als kazaa ed.

Zover ik weet bestaat er nog niet zoiets, maar het zou een flink potentieel hebben imo

Dat is dan geen virus, maar een exploit in winamp.
Nimda was toch ook geen 'virus' in http maar een exploit in IIS?

Op woensdag 19 december 2001 16:07 schreef deadinspace het volgende:
Dat is dan geen virus, maar een exploit in winamp.
Nimda was toch ook geen 'virus' in http maar een exploit in IIS?

Nimda is een worm. Dat die worm toevallig gebruik maakt van een bug in IIS, dat is niet echt belangrijk. Een virus in een mp3 zou dus een mp3 zijn die uitgevoerd wordt (door een fout in winamp), waardoor hij andere mp3's kan besmetten, bijvoorbeeld in de shared-directories van share-programma's. Zo is het een echt virus, imo.

Op donderdag 20 december 2001 17:20 schreef serkoon het volgende:

[..]

Nimda is een worm. Dat die worm toevallig gebruik maakt van een bug in IIS, dat is niet echt belangrijk. Een virus in een mp3 zou dus een mp3 zijn die uitgevoerd wordt (door een fout in winamp), waardoor hij andere mp3's kan besmetten, bijvoorbeeld in de shared-directories van share-programma's. Zo is het een echt virus, imo.

Ja, maar dat is dus imo geen virus, want het is winamp-specifiek.
Verder is de kans dat er zo'n exploit in een mp3-player zit wel heel erg klein, gezien het feit dat er niks uitgevoerd of gescript wordt.

Op donderdag 20 december 2001 18:05 schreef deadinspace het volgende:

[..]

Ja, maar dat is dus imo geen virus, want het is winamp-specifiek.
Verder is de kans dat er zo'n exploit in een mp3-player zit wel heel erg klein, gezien het feit dat er niks uitgevoerd of gescript wordt.

Er zijn ook DOS-specifieke virussen, of linux-specifieke virussen. Ookal is er een verschil OS <-> applicatie, toch zie ik niet in wat dat er toe doet. Een virus is een stuk code wat zichzelf verspreid via fysieke media, bijv. via een file op schijf of bootsector van een floppy. Zo zou er dus ook een virus in een mp3 kunnen zitten

Ik denk dat een bufferoverflow in winamp net zo goed aanwezig kan zijn als een bufferoverflow in een daemon op een unix-doos.
Exploiteerbaar zal het dan erg goed kunnen zijn, mp3's zijn binaire data, volledig door de gebruiker te maken, je bent dan daar iig niet op gelimiteerd.

Op donderdag 20 december 2001 19:13 schreef serkoon het volgende:
Er zijn ook DOS-specifieke virussen, of linux-specifieke virussen. Ookal is er een verschil OS <-> applicatie, toch zie ik niet in wat dat er toe doet. Een virus is een stuk code wat zichzelf verspreid via fysieke media, bijv. via een file op schijf of bootsector van een floppy. Zo zou er dus ook een virus in een mp3 kunnen zitten

Mja, ok. Maar het doelplatform wordt wel klein zo...

Ik denk dat een bufferoverflow in winamp net zo goed aanwezig kan zijn als een bufferoverflow in een daemon op een unix-doos.
Exploiteerbaar zal het dan erg goed kunnen zijn, mp3's zijn binaire data, volledig door de gebruiker te maken, je bent dan daar iig niet op gelimiteerd.

Dat zal tegenvallen. Gezien het bij mp3s decoden om een relatief klein stuk algoritme gaat (itt de gigantishe bergen code die nodig zijn bij bijvoorbeeld een webserver), en het ook nog eens een de-compressie algoritme is, waar je al bijna zeker dynamisch buffers nodig hebt zal een buffer overflow niet heel likely zijn.

Op donderdag 20 december 2001 19:18 schreef deadinspace het volgende:

Dat zal tegenvallen. Gezien het bij mp3s decoden om een relatief klein stuk algoritme gaat (itt de gigantishe bergen code die nodig zijn bij bijvoorbeeld een webserver), en het ook nog eens een de-compressie algoritme is, waar je al bijna zeker dynamisch buffers nodig hebt zal een buffer overflow niet heel likely zijn.

Mjah.. daar heb je wel weer gelijk in; ik heb ook nog nooit winamp op z'n bek zien gaan op een beschadigd mp3'tje.
Maargoed.. genoeg mogelijkheden >;)

Op zondag 16 december 2001 14:47 schreef Ferdo het volgende:
Wat wel kan is dat een virus zich kopiëert onder de naam van een MP3 in dezelfde map, en achter de extensie .vbs toevoegd. De MP3 zelf blijft wel op de schijf staan maar wordt verborgen gemaakt. Het LoveLetter-virus (en varianten) doet dat.

Erger is het dat het virus ook jpg-tjes aantast. In dat geval gebeurd bijna hetzelfde als bij MP3-tjes, zij het alleen dat de oorspronkelijke bestanden niet worden verborgen, maar gewist!

Lekker is dat, daardoor zijn 20 van de 70 digitale foto's van mijn vakantie van Maloorca vern**kt :(!

Zucht... voor al die mensen die "dit" en "dat" kwijt zijn:

* MAAK GVD DAN BACKUPS! *

ZO duur zijn CDRs niet...

Op donderdag 20 december 2001 22:11 schreef deadinspace het volgende:
Zucht... voor al die mensen die "dit" en "dat" kwijt zijn:

* MAAK GVD DAN BACKUPS! *

ZO duur zijn CDRs niet...

Inderdaad. Maar ik denk dat bijna iedereen dit wel weet, maar het toch niet doet. Meer een kwestie van 'het draait nu, so why bother' denk ik...

Moet ook maar eens een backuppie maken