hoe een infected file veilig "viewen"

Pagina: 1
Acties:

  • ThaHandy
  • Registratie: Juli 2001
  • Laatst online: 09-07 01:36

ThaHandy

Discovery Channel

Topicstarter
ik heb hier een irc log bestandje (van een channel) die geinfecteerd in met een irc nogwat trojan.

die virus is waarschijnlijk in de log gekomen dmv een stukkie binaire braggel wat die virus is te posten, toch?

magoed, ik wil graag weten hoe en waneer en dus wil ik die file veilig bekijken

de quantined file heb ik niets meer aan en de virus kan niet mer gedisinfecteerd worden.
met NAV uit en dat de file openen zie ik niet zitten.

hoe kan ik het wel proberen?

Verwijderd

Als dat log bestand gewoon een .txt dingetje is kun je hem gewoon openen hoor. Notepad kan geen virale code executen.

[ Voor 3% gewijzigd door Verwijderd op 11-05-2003 23:27 ]


  • dreeke
  • Registratie: December 2000
  • Laatst online: 31-10-2025

dreeke

outdated icon

Inderdaad openen met kladblok, kladblok laat alleen de inhoud zien en voert niks uit wat in het bestand staat.

NAV zal dit alleen niet toelaten

Bij gebrek aan uw reclame staat hier mijn handtekening.


  • ThaHandy
  • Registratie: Juli 2001
  • Laatst online: 09-07 01:36

ThaHandy

Discovery Channel

Topicstarter
dreeke schreef op 11 May 2003 @ 23:25:
Inderdaad openen met kladblok, kladblok laat alleen de inhoud zien en voert niks uit wat in het bestand staat.

NAV zal dit alleen niet toelaten
zeker weten?

  • dreeke
  • Registratie: December 2000
  • Laatst online: 31-10-2025

dreeke

outdated icon

heb jij kladblok wel eens scripts zien uitvoeren? :+

Bij gebrek aan uw reclame staat hier mijn handtekening.


  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Verwijderd schreef op 11 May 2003 @ 23:24:
Als dat log bestand gewoon een .txt dingetje is kun je hem gewoon openen hoor. Notepad kan geen virale code executen.
Dat zou ik niet al te hard roepen; zo is het bekend dat Internet Explorer (of de windows verkenner) nogal graag bestanden even snel helemaal doorlezen voor ze daadwerkelijk te openen. Als het om een TXT gaat zou ik knoppix gebruiken (een Linux distro from CD) om absoluut veilig te zijn :)

[google=explorer automatically run file on view security bug]

[ Voor 8% gewijzigd door Spider.007 op 11-05-2003 23:30 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


  • hufkes
  • Registratie: Maart 2000
  • Laatst online: 08-07 01:00

hufkes

nee, daar staat niet hufter!

waarschijnlijk staat er ergens 'echo y|format c:' in de logs, dat zien norton al als virus. Als je nav gewoon even uitschakeld terwijl je het bestand met notepad opent is er niets aan de hand. Iemand anders had dat vorige week ook met de logs van de #hk namelijk...

[ Voor 19% gewijzigd door hufkes op 11-05-2003 23:30 ]

Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P


  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 10-07 20:07
Linux distro nemen, en bekijken. Er bestaan toch geen echte virussen voor Linux.

Pandora FMS - Open Source Monitoring - pandorafms.org


Verwijderd

Spider.007 schreef op 11 May 2003 @ 23:28:
[...]


Dat zou ik niet al te hard roepen; zo is het bekend dat Internet Explorer (of de windows verkenner) nogal graag bestanden even snel helemaal doorlezen voor ze daadwerkelijk te openen.
Notepad zelf niet hoor, ik kan je een url van een 'plaatje' geven en IE zal wat leuks doen, Opera/Mozilla daarentegen doen niks. Notepad =/= explorer

  • FreakR
  • Registratie: Juni 2001
  • Laatst online: 13-07 15:23
Guru Evi schreef op 11 May 2003 @ 23:33:
Linux distro nemen, en bekijken. Er bestaan toch geen echte virussen voor Linux.
of je start op met een msdos bootflop :)

is wat makkelijker

In space no-one can hear you scream | http://www.google.com


  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Verwijderd schreef op 11 mei 2003 @ 23:34:
[...]
Notepad zelf niet hoor, ik kan je een url van een 'plaatje' geven en IE zal wat leuks doen, Opera/Mozilla daarentegen doen niks. Notepad =/= explorer
Ik wil voorkomen dat de TS in zijn Windows Verkenner naar het bestand toe navigeert terwijl die er een preview van gaat brouwen :)
Guru Evi schreef op 11 mei 2003 @ 23:33:
Linux distro nemen, en bekijken. Er bestaan toch geen echte virussen voor Linux.
Maar we hebben wel kandidaten: [google=ptrace kernel bug virus] :)

[ Voor 26% gewijzigd door Spider.007 op 11-05-2003 23:36 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


  • ThaHandy
  • Registratie: Juli 2001
  • Laatst online: 09-07 01:36

ThaHandy

Discovery Channel

Topicstarter
hufkes schreef op 11 May 2003 @ 23:29:
waarschijnlijk staat er ergens 'echo y|format c:' in de logs, dat zien norton al als virus. Als je nav gewoon even uitschakeld terwijl je het bestand met notepad opent is er niets aan de hand. Iemand anders had dat vorige week ook met de logs van de #hk namelijk...
idd de laatste regel
"echo j | format zee:"
bam NAV pop up
Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/0103/nav.jpg

tjong? :|

net ff getest :P

[ Voor 8% gewijzigd door F_J_K op 12-05-2003 10:01 . Reden: zee = c maar zo blaat NAV tenminste niet :P ]


  • 0siris
  • Registratie: Augustus 2000
  • Laatst online: 04-07 09:51
wel raar dat Norton zo'n file niet weet te herstellen dan...tis simpele code :?

ach...in een volgend leven lach je er om!


Verwijderd

Voor zover ik weet is de repair functie bij (de meeste) AV's alleen maar voor bestanden die door een virus worden geïnfecteerd, maw: dat er een (vast) stukje code wordt toegevoegd, dat verwijderen is cleanen/repairen. (Niet helemaal 100% zeker van, maar geloof het wel)

Verwijderd

Das toch wel een brute methode van NAV

Verwijderd

Bruut?? explain

  • ArthurMorgan
  • Registratie: Januari 2001
  • Niet online
voor logbestanden gewoon een goede/veilige teksteditor nemen...
Ik gebruik zelf editplus hiervoor. Dan kan er echt niks uitgevoerd worden hoor.

Normale teksteditoren doen namelijk alleen aan tekstesitten, en tekst is gewoon een rij letters in ascii.
Om een virus te activeren moet er code uitgevoerd worden. Als je dus niks uitvoert, maar alleen bekijkt is er dus niks aan de hand. (En ja dat is het probleem van bijvoorbeeld outlook express. Dat bekijkt niet alleen, maar wil ook heel graag iets uitvoeren....)

Never explain yourself to people who are committed to misunderstanding you.


  • hufkes
  • Registratie: Maart 2000
  • Laatst online: 08-07 01:00

hufkes

nee, daar staat niet hufter!

Verwijderd schreef op 11 mei 2003 @ 23:59:
Das toch wel een brute methode van NAV
bruut? hoezo bruut? Ik vind het wel goed, het is toch niet een regel die je ooit ergens in een normaal programma tegen zult komen. Die vraag of hij écht moet gaan formatteren omdat je anders alle units kwijt raakt, stelt hij toch niet voor niets?

Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P


  • ThaHandy
  • Registratie: Juli 2001
  • Laatst online: 09-07 01:36

ThaHandy

Discovery Channel

Topicstarter
aarg :( nu begint NAVook te bij de temp internet files te zeuren |:( toen ik dit venster ging sluiten

[ Voor 11% gewijzigd door ThaHandy op 12-05-2003 00:08 ]


Verwijderd

weet je zeker dat het in die log zat? en niet gewoon al op je pc?

  • ThaHandy
  • Registratie: Juli 2001
  • Laatst online: 09-07 01:36

ThaHandy

Discovery Channel

Topicstarter
Verwijderd schreef op 12 mei 2003 @ 00:12:
weet je zeker dat het in die log zat? en niet gewoon al op je pc?
jahoor, had zopas getest @ irc
en aangezien die ene regel/code in dit topic ook staat, wat dus gecashed is ;) vandaar :P

[ Voor 4% gewijzigd door ThaHandy op 12-05-2003 00:16 ]


Verwijderd

Kan zijn dat NAV begon te stressen omdat de code ook op deze pagina staat.

edit: ietsje te laat

[ Voor 14% gewijzigd door Verwijderd op 12-05-2003 00:17 ]


  • NaliXL
  • Registratie: Maart 2002
  • Laatst online: 02-07 17:13
ThaHandy schreef op 12 May 2003 @ 00:07:
aarg :( nu begint NAVook te bij de temp internet files te zeuren |:( toen ik dit venster ging sluiten
ROTFLOL! Logisch. Je hebt nou eenmaal een webpagina bekeken met de beruchte code :P Ben ik ff blij dat ik Linux draai....

Genoeg is meer dan veel, en tart den overvloed


  • ArthurMorgan
  • Registratie: Januari 2001
  • Niet online
NaliXL schreef op 12 mei 2003 @ 00:17:
[...]

ROTFLOL! Logisch. Je hebt nou eenmaal een webpagina bekeken met de beruchte code :P Ben ik ff blij dat ik Linux draai....
??? ik heb dus ook gewoon NAV, en die weet echt het verschil wel tussen echte virussen en een tekst.

Maar hij is alleen wel zo slim om de viruscode in tekstbestanden te controleren. Zo heb ik nog ergens het i love you virus op mijn HD als tekst staan. Als ik die wil openen geeft hij ook aan dat het ene virus bevat, en terecht..... vervolgens zeg ik dat hij de boel moet negeren en kan ik bij de code.

heel logisch en niks mee aan de hand.

Never explain yourself to people who are committed to misunderstanding you.


Verwijderd

Het maakt voor een virusscanner niet uit welke extensie een file heeft(mits goed geconfigureerd), er wordt naar de entry point header gekeken.

  • Kittekat
  • Registratie: April 2002
  • Laatst online: 17:00

Kittekat

Kittekat voor een Fitte kat

ThaHandy schreef op 11 mei 2003 @ 23:38:
[...]


idd de laatste regel
"echo j | format zee:"
bam NAV pop up
[afbeelding]

tjong? :|

net ff getest :P
ik weet precies wie dat was :Y)

[ Voor 3% gewijzigd door F_J_K op 12-05-2003 10:00 . Reden: zee = c maar zo blaat NAV tenminste niet :P ]

Kittekat.net ....


  • kamerplant
  • Registratie: Juli 2001
  • Niet online
Verwijderd schreef op 12 mei 2003 @ 00:23:
Het maakt voor een virusscanner niet uit welke extensie een file heeft(mits goed geconfigureerd), er wordt naar de entry point header gekeken.
Het is maar wat je goed geconfigureert vind.
Ikzelf vind het vrij overbodig om JPG, BMP, TXT, etc. files te laten scannen, dus laat hem dat ook niet doen, dat scheelt weer tijd. :P

In het geval van TS: Notepad voert de code niet uit en previeuwt het niet. Je loopt geen enkele risico op een virus als je een TXT-file opend. Dus stel ook maar lekker in dat hij niet op TXT-files gaat scannen aangezien dat nergens voor nodig is, alhoewel ik niet zeker ben of Norton deze feature heeft, het is een vrij simpel scannertje.

Het gaat trouwens over een IRC virus? Is de gewone mIRC daar gevoelig voor? :?

🌞🍃


  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB/AI

Front verplichte underscores

offtopic:
Ik heb C: veranderd in zee: zodat de virusscanner bij diverse tweakers niet gaat zeuren :P
(Al kan ik me voorstellen dat deze zelfde regel nog honderden keren in de GoT-DB staat :o )

En je kan inderdaad *.TXT etc excluden met NAV.

Tot het eerste script virus komt dat alle gevaarlijke inhoud in een tweede tekstbestand stopt en enkel een bootstrap functie als executable heeft...

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Verwijderd

Omdat ie gewoon alles blokt waar een "rare" code in zit, zonder te kijken naar wat voor bestand het is :|

Verwijderd

Ik merk trouwens dat Norman antivirus er niet op reageert (ook niet op deze pagina).

Sorry voor 2 posts na elkaar...

[ Voor 18% gewijzigd door Verwijderd op 12-05-2003 15:52 . Reden: Verontschuldiging ]


  • ThaHandy
  • Registratie: Juli 2001
  • Laatst online: 09-07 01:36

ThaHandy

Discovery Channel

Topicstarter
Verwijderd schreef op 12 mei 2003 @ 15:47:
Ik merk trouwens dat Norman antivirus er niet op reageert (ook niet op deze pagina).
ik heb et 1x gehad

et rare is
het werkt wel met "echo j| format", maar niet met de "echo y| format" :?

Verwijderd

DataBeest schreef op 12 May 2003 @ 09:36:
[...]

Het is maar wat je goed geconfigureert vind.
Ikzelf vind het vrij overbodig om JPG, BMP, TXT, etc. files te laten scannen, dus laat hem dat ook niet doen, dat scheelt weer tijd. :P
Ik raad je toch sterk aan jpg's en dergelijke te laten scannen, zeker als je IE gebruikt. Ben toch meer meerdere malen een link naar een jpg tegengekomen waarna KAV vrolijk een pop-up gaf. Mja, als je geen KAV of McAfee gebruikt kun je het met die exploits ook wel vergeten, rest ziet het niet.

Eerder ook eens een topic geweest op GoT over een andere exploit, NAV vond hem, alleen was de code toen al ge-execute...

Verwijderd

ThaHandy schreef op 12 May 2003 @ 15:52:
[...]

ik heb et 1x gehad

et rare is
het werkt wel met "echo j| format", maar niet met de "echo y| format" :?
Die pakt ie bij mij ook niet :?

Verwijderd

Komt omdat het engelse software is denk ik, ze supporten alleen de 'y' van yes en niet de 'j' van ja.

Voor de gein eens de 'c' in 'd' veranderen, kijken of ie hem dan ook nog pakt, McAfee en KAV laten hem door..

Verwijderd

Maar mijn Norman reageert tot nu toe helemaal nergens op :?

Verwijderd

Scan all files eens aanzetten?

Verwijderd

ff gechecked... staat aan

Verwijderd

Dat code in een logfile kan volgens mij alleen geactiveerd worden als je type doscommando gebruikt om die logfile te bekijken. En wie in hemelsnaam gebruikt nog die type command in deze tijd :D

  • ThaHandy
  • Registratie: Juli 2001
  • Laatst online: 09-07 01:36

ThaHandy

Discovery Channel

Topicstarter
Verwijderd schreef op 12 May 2003 @ 16:15:
Komt omdat het engelse software is denk ik, ze supporten alleen de 'y' van yes en niet de 'j' van ja.

Voor de gein eens de 'c' in 'd' veranderen, kijken of ie hem dan ook nog pakt, McAfee en KAV laten hem door..
andersom juist ;)

Verwijderd

KAV vindt hier alleen die met y, en daar had ik het over.
Pagina: 1