Como compartilhar código-fonte malicioso?

2

Eu tenho um cliente cujo site (não um que eu desenvolvi) está infectado por um trojan / código malicioso. Pedi a ele que me enviasse os arquivos sujos em um zip, mas o Gmail ou o descompactador estão bloqueando-os.

Eu tentei arquivos de texto e arquivos de palavras, e estou suspeitando que muitos tipos de arquivos diferentes serão bloqueados da mesma maneira, seja pelo meu cliente de email, software anti-malware, navegador etc. (o que é normal). / p>

Você sabe como ele pode compartilhar essas linhas para que eu possa lê-las e fazer alguma pesquisa sobre o código-fonte malicioso?

Uma imagem / captura de tela de seu editor de texto seria uma ideia, mas os arquivos são longos e eu preferiria copiar / colar deles.

    
por darma 08.07.2012 / 13:28

4 respostas

9

Provavelmente é o Gmail - ele foi desenvolvido para fazer isso, afinal, e procura por vírus. Eu suspeito que o uso de um método de compactação menos comum possa funcionar (o .xz pode funcionar para um único arquivo - os arquivos zip são verificados em meus testes não científicos do Gmail) ou simplesmente gravá-los em um DVD ou outra mídia. .

Considerando que você está respondendo a incidentes, seria pedir demais para acessar o site diretamente para fazer o download dos arquivos? Isso seria o mais simples e você poderá observar o comprometimento em seu ambiente nativo.

    
por 08.07.2012 / 13:32
4

Use apenas um arquivo zip criptografado, deixando o próprio zip fazer a criptografia ou usando o gpg para criptografá-lo. Em seguida, envie o arquivo criptografado e troque a frase secreta para que você possa descompactá-lo na outra extremidade. Dessa forma, um antivírus é impedido de ler o conteúdo e, portanto, não deve bloqueá-lo.

    
por 09.07.2012 / 15:55
2

Uma forma de usar sempre é criar um arquivo (zip, tar, whatever). Uuencode que arquiva e tira o begin 600 filename do começo e o end do final do resultado codificado.

Eu nunca encontrei um scanner de vírus bloqueando arquivos ASCII puros ainda. E isso é exatamente o que o resultado das operações acima são.

Restaurar é tão simples quanto abrir o arquivo em um editor de texto. Adicionando as linhas inicial e final, e usando o uudecode ou o winzip para decodificá-lo.

    
por 08.07.2012 / 14:53
1

Eu experimentei que arquivos maliciosos passíveis de serem zipificados tendem a não ser detectados por antivírus.

Tente incorporar o arquivo malicioso compactado em outro arquivo compactado (e possivelmente em outro), e a maioria dos scanners não o detectará até que você o extraia para o nível final (logo antes da extração do arquivo). Nesse ponto, você pode desativar seu antivírus e extrair ou extrair o arquivo dentro do Linux, onde a maioria dos trojans / vírus não funciona.

    
por 08.07.2012 / 13:35