p2p i adware

1

p2p i adware

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Ukratko, cuvajte se p2p programa koji se prikljucuju na Gnutella i Gnutella2 mreze.
Postoje programi koji ce za bilo koji vas Search da generisu fajl koji ce da ima odgovarajuce ime i ekstenziju.
Svi ti fajlovi u sebi imaju IstBar Adware i velicine su izmedju 30 i 300 kb.

Za proveru, ukucajte pretragu za fajlom 'fghjkf' (totalno nasumicno ime za koje ne postoji verovatnoca da postoji).
Posle manje od minuta pretrage cete dobiti par rezultata pretrage (zar nije cudno?).
Imena ce biti takva da izgledaju kao da imaju smisla, tj. fajlovi ce da sadrze jos par reci u imenu, recimo 'Released by fghjkf', ili 'naked...', 'uncensored...'.
Najcesce ekstenzije koje ce ti fajlovi imati su RAR, ZIP, ACE, EXE, JPG, MP3, WMF... znaci, ono sto se najvise trazi na p2p mrezama.

Od popularnih programa, pogodjeni su LimeWire i Shareaza (najverovatnije i jos neki, ali ja sam samo ova dve probao).



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Dok  Male
  • Moderator foruma
  • - Dok Milioner -
  • - Profesionalni Vanzemaljac -
  • Pridružio: 01 Jul 2005
  • Poruke: 4703
  • Gde živiš: Tamo gde mi nije mesto.

Lime Wire stoji na nekim sajtovima kao program koji poseduje spijunske komponente!!To vazi isto i za Morpheuz i za jos nekolicinu programa!!!Za Shareazu se ne spomijne nista ali ona koristi jos neke mreze koje su pune buva i stetocina!!



offline
  • Pridružio: 16 Jun 2005
  • Poruke: 1251
  • Gde živiš: Podgorica

iMesh
u sebi ima neki addaware (tako kaže kav v6)
i ARES isto

offline
  • m4rk0  Male
  • Administrator
  • Administrator tech foruma
  • Marko Vasić
  • Gladijator - Maximus Decimus Meridius
  • Pridružio: 14 Jan 2005
  • Poruke: 15766
  • Gde živiš: Majur (Colosseum)

@Dok & stefke_W_

Ovde nije rec o tome kako neki p2p program poseduje neki spy/adaware u okviru svoje instalacije, vec je rec o tome, da p2p programi koji se prikljucuju na Gnutella predstavljaju potencijalnu opsnost zbog toga sto pri searchu (izmedju ostalog) izbacuju i "rezultate" koji u sebi sadrze adaware (rezultat koji uopste ne zavisi od toga koje si keywords uneo).

Ovaj topic koji je bobby otvorio razmisljao sam i ranije da otvorim posto sam i ja preko limewire se uverio u prisustvu takvih stvari.

Evo konkretno sta se desava:


1. Adaware u audio fajlovima:

Otkucate naziv neke pesme (znaci pretraga audio fajlova) i u okviru mase rezultata na vrhu ca se javiti i jedan koje je velicine tacno 134.4 KB. Moze se desiti da ne postoji nijedan drugi rezultat vec samo ovaj jedan, koji je ponavljam velicine 134.4 KB i uglavnom je tip konekcije (kod klijenta koji sheruje ovaj kvazi fajl) brza konekcija tipa T1 - normalno samo da bi vas navukli da skinete taj fajl, a u njemu....ni traga od pesme koje ste trazili vec.... adaware ili nesto slicno.

2. Adaware u programs fajlovima :

Trazite neki program ili crack i u limewire izaberete tab "programs" i unesete odgovarajucu kljucnu rec. Kao i u slucaju sa pretragom audio fajlova i ovde ce se javiti jedna zamka. U okviru rezultata javice se i gomila fajlova velicine tacno 851.7 KB. Fajl je u vecini slucajeva zipovan, a takodje taj fajl sa gorepomenutom velicinom je u 99 % slucajeva ustvari adaware.

3. Adaware u video fajlovima :

Trazite neki video zapis i unesete zeljene kljucne reci. Ali neretko se desi cudo: umesto rezultata koja odgovaraju kljucnim recima koje ste vi uneli, kao rezultati se javljaju neki za-odrasle-o klipovi koji nemaju veze sa onim sto ste trazili. Veliki broj tih "padobranaca" su ustvari adaware. Takodje nevezano za ovo, i u okviru pretrage video fajlova takodje postoje rezultati koji imaju striktnu velicinu a fajlovi sa upravo tom velicinom su adaware. Ne mogu tacno da se setim kolika je to velicina, ali znam zasigurno da su takvi rezultati imali wmv extenziju (prenecu vam kad naletim na takav jedan)

Dopuna: 17 Jan 2006 16:58

Limewire se ogradjuje od ovakvih opasnosti posto ce kod svakog "sumnjivog" dajla koji potice sa Gnutella mreze izbaciti pop-up da isti nema licencu i da ga skidate na sopstvenu odgovornost.

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23093
  • Gde živiš: Niš

ja sam bas sinoc naleteo na jedan mp3 fajl od 134 kb.
pustio sam ga, i cuo sam kako neki crnja reklamira tamo neki www sajt... Smile
nije valjda da se tom prikom izvrsio maliciozni kod? ne bih bas rek'o... imao je mp3 ekstenziju, i winamp ga je uredno pustio.

offline
  • Pridružio: 16 Jun 2005
  • Poruke: 1251
  • Gde živiš: Podgorica

i ja sam naišao preko limeWire na neki audio fajl od 134 ali je to isto neka reklama koja traje 30 sekundi . . .

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Fora je da je neko uspeo da napravi program koji je non-stop prikljucen na Gnutellu, i koji ce uvek da ima rezultat za vas Search. Sta god da trazite na Gnutelli, taj tip ce imati nesto sto odgovara recima u vasoj pretrazi.

Evo testa koji mozete da uradite da bi ste se uverili:
- idite na Search i odaberite all
- u Search polje ukucajte najnebulozniju rec koju mozete da smislite, recimo 'assdflkahgsouy'
- pocnite pretragu
- obavezno ce pretraga naci nesto, iako je verovatnoca nalazanje fajla sa ovakvim imenom ravna nuli.
- svaka druga nebulozna rec ce kao rezultat izbaciti iste ove fajlove, samo sa drugim imenima

Isto vazi i kada suzite pretragu na muziku, slike, video...

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23093
  • Gde živiš: Niš

a da li je recimo taj mp3 fajl maliciozan, ili je samo u pitanju reklama?

kad vec pricamo o p2p i adware/spyware... da napomonem da je Bobby sinoc otkrio da postoji p2p klijent koji se zove Shareazaa.
pazite, nije u pitanju Shareaza, nego Shareazaa, sa dva 'a' na kraju.
to cudo je garant prepuno adware/spyware-om u samom klijentu.

pazite dobro koje p2p klijente koristite.
Shareaza je opensource projekat, i skroz je cista od takvih gamadi... a i toplo je preporucujem, jer podrzava 4 mreze cak [gnutella1, gnutella2, edonkey2000, torrent], i ima prevod na srpski Cool

a sto se tice Search-a... nemojte skidati te male mp3 fajlove...
mozete i prilikom samog Search-a da specificirate da vam nadje samo fajlove koji su veci od recimo 500 kb.
i obavezno izaberite koji tip fajlova trazite, ako trazite mp3 stavite Audio, da vam ne bi izbacila pretraga gomilu EXE fajlova koji su 'otrovni'.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Postoje mp3 fajlovi koji u jednom plejeru cijeg imena ne mogu da se setim, mogu da izazovu buffer overflow.
To je bilo prosle godine, tako da mislim da je to ispravljeno.
Cak i da jos uvek postoji aktuelan mp3 exploit, ne verujem da se preterano koristi, a i primetilo bi se jer bi plejer pao uz neku poruku o gresci samo kada pustate taj fajl (dok sa drugim fajlovima i dalje lepo radi).

Windows Media formati su vec malo opasniji.
Jedan Windows Media fajl moze biti napravljen tako da se u fajlu koji skinete nalazi samo deo video materijala, i da se po zavrsetku istog Windows Media Player usmeri da ostatak skine sa odredjene internet adrese.
Tu sada moze da se pojavi poruka o licenciranju da bi se nastavilo sa gledanjem. Pri licenciranju se lako mozete prevariti da pristanete na to da vam ubace Adware da bi vam dopustili da odgledate ostatak.
Moze jos jedna stvar da se desi kada WMP pokusa da skine nastavak sa neta. Posto se prikljucuje na odredjeni server, server moze biti nastelovan da iskoristi neki exploit za WMP i da na taj nacin sebi otvori put da vam ugradi neki adware.

Za sada je WMP zakrpljen za sve dosada poznate exploite (ukoliko redovno skidate update), ali to ne znaci da nece da se pojave novi exploiti.

Znaci, PAZLJIVO sa Windows Media fajlovima (wma, wmv...)

offline
  • m4rk0  Male
  • Administrator
  • Administrator tech foruma
  • Marko Vasić
  • Gladijator - Maximus Decimus Meridius
  • Pridružio: 14 Jan 2005
  • Poruke: 15766
  • Gde živiš: Majur (Colosseum)

Citat:Postoje mp3 fajlovi koji u jednom plejeru cijeg imena ne mogu da se setim, mogu da izazovu buffer overflow.

Sundance je napravio nesto slicno (nije u pitanju mp3 fajl pa je mali offtopic, al je vredno napomenuti)

http://sunnis.headcoders.net/txt/Winamp%203%20(1.0.0.488)%20XML%20parser%20buffer%20overflow%20vulnerability.txt

Dopuna: 17 Jan 2006 19:30

Elem, evo tema u kojima smo govorili o p2p programima, mozda nekom bude od pomoci:

http://www.mycity.rs/phpbb/viewtopic.php?t=8266
http://www.mycity.rs/phpbb/viewtopic.php?t=9650

Ko je trenutno na forumu
 

Ukupno su 689 korisnika na forumu :: 22 registrovanih, 4 sakrivenih i 663 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3028 - dana 22 Nov 2019 07:47

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: ALBION101, Arhiv, Bane san, darkstar101, doom83, Dragan Mačak Damljanović, havoc995, helen1, Klecaviks, kljift, Kos93, Lieutenant, Marko Marković, mgaji21, Misha V, MORAVA1, novator, nuke92, Raptor1, sombrero, vespa nikola, YU-UKI