On Mon, 04 Apr 2005 09:40:33 +0300 Mircea MITU <[EMAIL PROTECTED]> wrote:
> On Wed, 2005-03-30 at 10:13 +0300, Mircea MITU wrote: > > On Wed, 2005-03-30 at 01:47 +0300, mihai wrote: > > > Pe de alta parte m-a surprins placut Clamav care mi-a gasit niste > > > virusache care nu i-a detectat nici bdc > > > > > > HTML.Phishing.Bank-1 > > > Exploit.HTML.MHT-1 > > > > > > > bdc are in lista de familii cunoscute > > > > Exploit.HTML.MHT > > Exploit.HTML.Mht.A > > HTML.Phishing.A > > HTML.Phishing.B > > > > pt siguranta, impacheteaza mesajele respective intr'un zip cu parola > > si trimite arhiva rezultata (impreuna cu parola, evident) la > > [EMAIL PROTECTED] / [EMAIL PROTECTED] > > > > > Multzam de submitere. > > Din cele 2 obiecte, unul (vir1 - Exploit.HTML.MHT-1) a fost alarma > falsa a ClamAV (newsletter de la securityfocus) si am submis catre ei > mesajul pt reparatie (Mihai, poti verifica daca si'au actualizat > semnaturile). > > Celalalt era un sample de phishing mai special (un gif cu text in el) > si BitDefender a adaugat semnatura pt el > (Trojan.Spy.HTML.Bankfraud.DQ). > > > [retransmit mailul acesta ca prima oara nu a ajuns unde intentionam, cred ca e un bug prin mailerul meu] Hmm, povestea asta devine din ce in ce mai ciudata, dar fiindca s-a intors pe lug, continui si eu tot aici: In primul rand raspunsul "oficial" de la bitdefender [Ticket ID: 200503301004985]: " Din rezultatele primite de la echipa care a analizat fisierele trimise de dumneavoastra rezulta ca acestea nu sunt infectate. Asadar puteti sa le folositi cu incredere. " Si acum inapoi la virusi Intradevar primul "virus" era un newsletter de la securityfocus, dar in el era descrisa o vulnerabilitate si era un sample de cod (presupus vulnerabil). Si acum partea ciudata: Initial mi-ai trimis un raspuns similar cu acesta pe adresa personala, iar eu ca sa te conving ca poate nu e chiar o alarma falsa am dat un split la pe fisierul care continea mailul de la securityfocus, tocmai ca sa vad unde anume gaseste clamav virusul: Pana la urma bucata respectiva arata cam asa: " The issue is believed to be a variant of the vulnerabilities described in BID 9107 (Microsoft Internet Explorer Browser MHTML Redirection Local File Parsing Vulnerability) and BID 9105 (Microsoft Internet Explorer MHTML Forced File Execution Vulnerability), in this case however MHTML redirection occurs through the MS-ITS InfoTech Protocol. The vulnerability is reportedly exploited with the following syntax: ms-its:mhtml:file://aici era restul codului html It has been reported that this vulnerability is actively being exploited as an infection vector for malicious code that has been temporarily dubbed 'Ibiza'. According to new information, by employing a malformed CLSID parameter this vulnerability may allow malicious applications to be downloaded without user intervention " Convins ca bdc il considera alarma falsa (doar am primit confirmarea de la bitdefender" nu am mai arhivat cu parola bucatica de text obituta cu split din mailul original de la securityfocus. Insa daca rulez bdc --mail -all _doar_ pe bucatica respectiva rezulatul bdc e urmatorul: infected: Exploit.Html.MhtRedir.Gen E posibil ca de asta sa nu fi ajuns nici mesajul meu la tine, l-a oprit bitdefender pe serverul de mail (eu mi-am dat seama mai tarziu ca pe split obtin "pozitive"). Deci bitdefender nu gaseseste virus in tot mailul, dar daca ii dau un split din el il gaseste. Probabil evalueaza daca codul este exploatabil, sau poate e doar un bug? Banuiala mea e ca se dupa un anumit nr de bytes, mesajul nu mai e "periat", iar newsletterul de la security focus era destul de maricel. Al doilea mail intradevar avea si un gif, dar vulnerabilitatea se afla in html-ul care mai era pe acolo. Asa mi-a raportat clamscan si asa imi raporteaza si bdc acum -- Mihai Voica --- Detalii despre listele noastre de mail: http://www.lug.ro/
