p2p i adware

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Ukratko, cuvajte se p2p programa koji se prikljucuju na Gnutella i Gnutella2 mreze.
Postoje programi koji ce za bilo koji vas Search da generisu fajl koji ce da ima odgovarajuce ime i ekstenziju.
Svi ti fajlovi u sebi imaju IstBar Adware i velicine su izmedju 30 i 300 kb.

Za proveru, ukucajte pretragu za fajlom 'fghjkf' (totalno nasumicno ime za koje ne postoji verovatnoca da postoji).
Posle manje od minuta pretrage cete dobiti par rezultata pretrage (zar nije cudno?).
Imena ce biti takva da izgledaju kao da imaju smisla, tj. fajlovi ce da sadrze jos par reci u imenu, recimo 'Released by fghjkf', ili 'naked...', 'uncensored...'.
Najcesce ekstenzije koje ce ti fajlovi imati su RAR, ZIP, ACE, EXE, JPG, MP3, WMF... znaci, ono sto se najvise trazi na p2p mrezama.

Od popularnih programa, pogodjeni su LimeWire i Shareaza (najverovatnije i jos neki, ali ja sam samo ova dve probao).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Lime Wire stoji na nekim sajtovima kao program koji poseduje spijunske komponente!!To vazi isto i za Morpheuz i za jos nekolicinu programa!!!Za Shareazu se ne spomijne nista ali ona koristi jos neke mreze koje su pune buva i stetocina!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

iMesh
u sebi ima neki addaware (tako kaže kav v6)
i ARES isto

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

@Dok & stefke_W_

Ovde nije rec o tome kako neki p2p program poseduje neki spy/adaware u okviru svoje instalacije, vec je rec o tome, da p2p programi koji se prikljucuju na Gnutella predstavljaju potencijalnu opsnost zbog toga sto pri searchu (izmedju ostalog) izbacuju i "rezultate" koji u sebi sadrze adaware (rezultat koji uopste ne zavisi od toga koje si keywords uneo).

Ovaj topic koji je bobby otvorio razmisljao sam i ranije da otvorim posto sam i ja preko limewire se uverio u prisustvu takvih stvari.

Evo konkretno sta se desava:


1. Adaware u audio fajlovima:

Otkucate naziv neke pesme (znaci pretraga audio fajlova) i u okviru mase rezultata na vrhu ca se javiti i jedan koje je velicine tacno 134.4 KB. Moze se desiti da ne postoji nijedan drugi rezultat vec samo ovaj jedan, koji je ponavljam velicine 134.4 KB i uglavnom je tip konekcije (kod klijenta koji sheruje ovaj kvazi fajl) brza konekcija tipa T1 - normalno samo da bi vas navukli da skinete taj fajl, a u njemu....ni traga od pesme koje ste trazili vec.... adaware ili nesto slicno.

2. Adaware u programs fajlovima :

Trazite neki program ili crack i u limewire izaberete tab "programs" i unesete odgovarajucu kljucnu rec. Kao i u slucaju sa pretragom audio fajlova i ovde ce se javiti jedna zamka. U okviru rezultata javice se i gomila fajlova velicine tacno 851.7 KB. Fajl je u vecini slucajeva zipovan, a takodje taj fajl sa gorepomenutom velicinom je u 99 % slucajeva ustvari adaware.

3. Adaware u video fajlovima :

Trazite neki video zapis i unesete zeljene kljucne reci. Ali neretko se desi cudo: umesto rezultata koja odgovaraju kljucnim recima koje ste vi uneli, kao rezultati se javljaju neki za-odrasle-o klipovi koji nemaju veze sa onim sto ste trazili. Veliki broj tih "padobranaca" su ustvari adaware. Takodje nevezano za ovo, i u okviru pretrage video fajlova takodje postoje rezultati koji imaju striktnu velicinu a fajlovi sa upravo tom velicinom su adaware. Ne mogu tacno da se setim kolika je to velicina, ali znam zasigurno da su takvi rezultati imali wmv extenziju (prenecu vam kad naletim na takav jedan)

Dopuna: 17 Jan 2006 16:58

Limewire se ogradjuje od ovakvih opasnosti posto ce kod svakog "sumnjivog" dajla koji potice sa Gnutella mreze izbaciti pop-up da isti nema licencu i da ga skidate na sopstvenu odgovornost.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ja sam bas sinoc naleteo na jedan mp3 fajl od 134 kb.
pustio sam ga, i cuo sam kako neki crnja reklamira tamo neki www sajt...
nije valjda da se tom prikom izvrsio maliciozni kod? ne bih bas rek'o... imao je mp3 ekstenziju, i winamp ga je uredno pustio.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

i ja sam naišao preko limeWire na neki audio fajl od 134 ali je to isto neka reklama koja traje 30 sekundi . . .

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Fora je da je neko uspeo da napravi program koji je non-stop prikljucen na Gnutellu, i koji ce uvek da ima rezultat za vas Search. Sta god da trazite na Gnutelli, taj tip ce imati nesto sto odgovara recima u vasoj pretrazi.

Evo testa koji mozete da uradite da bi ste se uverili:
- idite na Search i odaberite all
- u Search polje ukucajte najnebulozniju rec koju mozete da smislite, recimo 'assdflkahgsouy'
- pocnite pretragu
- obavezno ce pretraga naci nesto, iako je verovatnoca nalazanje fajla sa ovakvim imenom ravna nuli.
- svaka druga nebulozna rec ce kao rezultat izbaciti iste ove fajlove, samo sa drugim imenima

Isto vazi i kada suzite pretragu na muziku, slike, video...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

a da li je recimo taj mp3 fajl maliciozan, ili je samo u pitanju reklama?

kad vec pricamo o p2p i adware/spyware... da napomonem da je Bobby sinoc otkrio da postoji p2p klijent koji se zove Shareazaa.
pazite, nije u pitanju Shareaza, nego Shareazaa, sa dva 'a' na kraju.
to cudo je garant prepuno adware/spyware-om u samom klijentu.

pazite dobro koje p2p klijente koristite.
Shareaza je opensource projekat, i skroz je cista od takvih gamadi... a i toplo je preporucujem, jer podrzava 4 mreze cak [gnutella1, gnutella2, edonkey2000, torrent], i ima prevod na srpski

a sto se tice Search-a... nemojte skidati te male mp3 fajlove...
mozete i prilikom samog Search-a da specificirate da vam nadje samo fajlove koji su veci od recimo 500 kb.
i obavezno izaberite koji tip fajlova trazite, ako trazite mp3 stavite Audio, da vam ne bi izbacila pretraga gomilu EXE fajlova koji su 'otrovni'.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Postoje mp3 fajlovi koji u jednom plejeru cijeg imena ne mogu da se setim, mogu da izazovu buffer overflow.
To je bilo prosle godine, tako da mislim da je to ispravljeno.
Cak i da jos uvek postoji aktuelan mp3 exploit, ne verujem da se preterano koristi, a i primetilo bi se jer bi plejer pao uz neku poruku o gresci samo kada pustate taj fajl (dok sa drugim fajlovima i dalje lepo radi).

Windows Media formati su vec malo opasniji.
Jedan Windows Media fajl moze biti napravljen tako da se u fajlu koji skinete nalazi samo deo video materijala, i da se po zavrsetku istog Windows Media Player usmeri da ostatak skine sa odredjene internet adrese.
Tu sada moze da se pojavi poruka o licenciranju da bi se nastavilo sa gledanjem. Pri licenciranju se lako mozete prevariti da pristanete na to da vam ubace Adware da bi vam dopustili da odgledate ostatak.
Moze jos jedna stvar da se desi kada WMP pokusa da skine nastavak sa neta. Posto se prikljucuje na odredjeni server, server moze biti nastelovan da iskoristi neki exploit za WMP i da na taj nacin sebi otvori put da vam ugradi neki adware.

Za sada je WMP zakrpljen za sve dosada poznate exploite (ukoliko redovno skidate update), ali to ne znaci da nece da se pojave novi exploiti.

Znaci, PAZLJIVO sa Windows Media fajlovima (wma, wmv...)

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Citat:Postoje mp3 fajlovi koji u jednom plejeru cijeg imena ne mogu da se setim, mogu da izazovu buffer overflow.

Sundance je napravio nesto slicno (nije u pitanju mp3 fajl pa je mali offtopic, al je vredno napomenuti)

http://sunnis.headcoders.net/txt/Winamp%203%20(1.0.0.488)%20XML%20parser%20buffer%20overflow%20vulnerability.txt

Dopuna: 17 Jan 2006 19:30

Elem, evo tema u kojima smo govorili o p2p programima, mozda nekom bude od pomoci:

http://www.mycity.rs/phpbb/viewtopic.php?t=8266
http://www.mycity.rs/phpbb/viewtopic.php?t=9650