0413anonymous Postado Fevereiro 20, 2021 em 12:04 Compartilhar Postado Fevereiro 20, 2021 em 12:04 Galera, fui baixar a Phrack 64 e eis que o Firefox acusou que o arquivo tem malware dentro... Confiram vocês mesmos: http://phrack.org/archives/tgz/phrack64.tar.gz A questão é: será que é malware mesmo ou será que é só um falso positivo? Mas, falso positivo com arquivos que, teoricamente, deveriam ser somente txt? Hehehehehehehehe. Abraços! Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble anderson_leite Postado Fevereiro 21, 2021 em 05:03 Apoiador Nibble Compartilhar Postado Fevereiro 21, 2021 em 05:03 É um falso positivo, as vezes o firefox alerta quando é acessado algum dominio ou conteudo que contenha algo ligado a hacking. Link para o comentário Compartilhar em outros sites More sharing options...
0413anonymous Postado Fevereiro 21, 2021 em 14:28 Autor Compartilhar Postado Fevereiro 21, 2021 em 14:28 9 hours ago, anderson_leite said: É um falso positivo, as vezes o firefox alerta quando é acessado algum dominio ou conteudo que contenha algo ligado a hacking. Tu testou ou é somente um palpite? Veja bem, postei aqui, justamente porque aqui tem uma galera que manja muito mais do que eu... E, se tem treta ali, alguém vai descobrir, hehe. E, claro, evita que desavisados sejam infectados caso haja algo mesmo. Mas, vamos supor que você esteja certo... Por que o Firefox considerou somente o 1 (o 64) dos 69 disponíveis no site? Estranho, não?! Enfim... Não tô duvidando de tu, porém se tu analisou o arquivo e tal, poderia contar pra gente? Se não, acho melhor aguardar mais comentários (se é que alguém se interessará por isso, claro). Abraços! Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble anderson_leite Postado Fevereiro 22, 2021 em 03:01 Apoiador Nibble Compartilhar Postado Fevereiro 22, 2021 em 03:01 Acho que eu devia ter colocado a "analise" kk, é que de fato são apenas txt com publicações do phrack. Quote Tu testou ou é somente um palpite? Sim testei, olha só: file *.txt 1 ↵ luria@cyberia 1.txt: ASCII text 10.txt: UTF-8 Unicode text 11.txt: UTF-8 Unicode text 12.txt: ASCII text 13.txt: ASCII text 14.txt: ASCII text 15.txt: ASCII text 16.txt: ASCII text 17.txt: ASCII text 2.txt: ASCII text 3.txt: ASCII text 4.txt: ASCII text 5.txt: ASCII text 6.txt: assembler source, ASCII text 7.txt: ASCII text 8.txt: ASCII text 9.txt: ASCII text, with CRLF line terminators Todos os arquivos são de texto, também fiz questão de abrir cada um, tanto em texto quanto em hexa, para checar se tinha algo mal formado dentro, porém todos são legitimos do site do phrack. Quote Mas, vamos supor que você esteja certo... Por que o Firefox considerou somente o 1 (o 64) dos 69 disponíveis no site? Estranho, não?! Acontece que algumas publicações do Phrack contém arquivos encodados em texto, dá uma olhada no 5.txt, no finalzinho dele tem um arquivo encodado em texto usando o uuencoding, que é uma maneira de representar binarios em texto, dessa maneira o arquivo RDS_Demodulator.ps.gz fica dentro do txt e você so precisa copiar o texto e usar alguma ferramenta como uudecode para fazer o decoding do texto de volta para os valores reais. O que acontece é que talvez o firefox interprete isso como malicioso e barre por conter esses dados "estranhos". Outra coisa para levar em conta é que o phrack faz uma revisão de cada artigo que é submetido à eles, então dificilmente vai subir algo com algum malware de fato. Mas, posso estar totalmente errado e ter perdido algo! Qual alarme exatamente o firefox te deu ? Ele disse algum arquivo dentro desse tar.gz que tivesse algo malicioso ? Link para o comentário Compartilhar em outros sites More sharing options...
0413anonymous Postado Fevereiro 22, 2021 em 11:47 Autor Compartilhar Postado Fevereiro 22, 2021 em 11:47 8 hours ago, anderson_leite said: Acho que eu devia ter colocado a "analise" kk, é que de fato são apenas txt com publicações do phrack. Sim testei, olha só: file *.txt 1 ↵ luria@cyberia 1.txt: ASCII text 10.txt: UTF-8 Unicode text 11.txt: UTF-8 Unicode text 12.txt: ASCII text 13.txt: ASCII text 14.txt: ASCII text 15.txt: ASCII text 16.txt: ASCII text 17.txt: ASCII text 2.txt: ASCII text 3.txt: ASCII text 4.txt: ASCII text 5.txt: ASCII text 6.txt: assembler source, ASCII text 7.txt: ASCII text 8.txt: ASCII text 9.txt: ASCII text, with CRLF line terminators Todos os arquivos são de texto, também fiz questão de abrir cada um, tanto em texto quanto em hexa, para checar se tinha algo mal formado dentro, porém todos são legitimos do site do phrack. Acontece que algumas publicações do Phrack contém arquivos encodados em texto, dá uma olhada no 5.txt, no finalzinho dele tem um arquivo encodado em texto usando o uuencoding, que é uma maneira de representar binarios em texto, dessa maneira o arquivo RDS_Demodulator.ps.gz fica dentro do txt e você so precisa copiar o texto e usar alguma ferramenta como uudecode para fazer o decoding do texto de volta para os valores reais. O que acontece é que talvez o firefox interprete isso como malicioso e barre por conter esses dados "estranhos". Outra coisa para levar em conta é que o phrack faz uma revisão de cada artigo que é submetido à eles, então dificilmente vai subir algo com algum malware de fato. Mas, posso estar totalmente errado e ter perdido algo! Qual alarme exatamente o firefox te deu ? Ele disse algum arquivo dentro desse tar.gz que tivesse algo malicioso ? Show, rapaz! Que maravilha de análise! Mesmo não tendo porra nenhuma, valeu o tópico pela aula que tu deu aí (pelo menos pra mim, hehe)... Então, fiz o download "manualmente" dando tab no index of mesmo (tô em máquina Windows, senão teria usado o wget recursivamente e já era - se bem que até tem um wget pro Windows... Bom, dane-se!) da página, aí quando conferi em Downloads (aba do Firefox mesmo) notei um círculo vermelho em cima da seta que fica azul quando acaba os downloads e estranhei (já tinha visto amarelo, mas vermelho primeira vez - amarelo é pra quando falha), aí fui checar e deu uma mensagem que o Firefox detectou possível malware no arquivo e se eu queria baixar assim mesmo. Fiquei com o ** na mão e, eis que aqui estamos!!!! Abraço e obrigado pela atenção, parceiro! Link para o comentário Compartilhar em outros sites More sharing options...
0413anonymous Postado Fevereiro 24, 2021 em 05:08 Autor Compartilhar Postado Fevereiro 24, 2021 em 05:08 @anderson_leite, rapaz, eu fiquei encucado com isso e fui olhar de novo o que tu postou e, só reparei agora!!!! Se liga no 6.txt... Tem um código fonte de assembly ali (faz parte do artigo... Não é malware mesmo)... Será que foi isso que Firefox detectou e pensou ser um malware em assembly (sei lá como funciona o método de detecção deles de ameaças, mas imagino que neste caso foi algum parser deles que olha dentro do txt...)? Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.