0413anonymous Posted February 20, 2021 at 12:04 PM Share Posted February 20, 2021 at 12:04 PM Galera, fui baixar a Phrack 64 e eis que o Firefox acusou que o arquivo tem malware dentro... Confiram vocês mesmos: http://phrack.org/archives/tgz/phrack64.tar.gz A questão é: será que é malware mesmo ou será que é só um falso positivo? Mas, falso positivo com arquivos que, teoricamente, deveriam ser somente txt? Hehehehehehehehe. Abraços! Link to comment Share on other sites More sharing options...
Supporter - Nibble anderson_leite Posted February 21, 2021 at 05:03 AM Supporter - Nibble Share Posted February 21, 2021 at 05:03 AM É um falso positivo, as vezes o firefox alerta quando é acessado algum dominio ou conteudo que contenha algo ligado a hacking. Link to comment Share on other sites More sharing options...
0413anonymous Posted February 21, 2021 at 02:28 PM Author Share Posted February 21, 2021 at 02:28 PM 9 hours ago, anderson_leite said: É um falso positivo, as vezes o firefox alerta quando é acessado algum dominio ou conteudo que contenha algo ligado a hacking. Tu testou ou é somente um palpite? Veja bem, postei aqui, justamente porque aqui tem uma galera que manja muito mais do que eu... E, se tem treta ali, alguém vai descobrir, hehe. E, claro, evita que desavisados sejam infectados caso haja algo mesmo. Mas, vamos supor que você esteja certo... Por que o Firefox considerou somente o 1 (o 64) dos 69 disponíveis no site? Estranho, não?! Enfim... Não tô duvidando de tu, porém se tu analisou o arquivo e tal, poderia contar pra gente? Se não, acho melhor aguardar mais comentários (se é que alguém se interessará por isso, claro). Abraços! Link to comment Share on other sites More sharing options...
Supporter - Nibble anderson_leite Posted February 22, 2021 at 03:01 AM Supporter - Nibble Share Posted February 22, 2021 at 03:01 AM Acho que eu devia ter colocado a "analise" kk, é que de fato são apenas txt com publicações do phrack. Quote Tu testou ou é somente um palpite? Sim testei, olha só: file *.txt 1 ↵ luria@cyberia 1.txt: ASCII text 10.txt: UTF-8 Unicode text 11.txt: UTF-8 Unicode text 12.txt: ASCII text 13.txt: ASCII text 14.txt: ASCII text 15.txt: ASCII text 16.txt: ASCII text 17.txt: ASCII text 2.txt: ASCII text 3.txt: ASCII text 4.txt: ASCII text 5.txt: ASCII text 6.txt: assembler source, ASCII text 7.txt: ASCII text 8.txt: ASCII text 9.txt: ASCII text, with CRLF line terminators Todos os arquivos são de texto, também fiz questão de abrir cada um, tanto em texto quanto em hexa, para checar se tinha algo mal formado dentro, porém todos são legitimos do site do phrack. Quote Mas, vamos supor que você esteja certo... Por que o Firefox considerou somente o 1 (o 64) dos 69 disponíveis no site? Estranho, não?! Acontece que algumas publicações do Phrack contém arquivos encodados em texto, dá uma olhada no 5.txt, no finalzinho dele tem um arquivo encodado em texto usando o uuencoding, que é uma maneira de representar binarios em texto, dessa maneira o arquivo RDS_Demodulator.ps.gz fica dentro do txt e você so precisa copiar o texto e usar alguma ferramenta como uudecode para fazer o decoding do texto de volta para os valores reais. O que acontece é que talvez o firefox interprete isso como malicioso e barre por conter esses dados "estranhos". Outra coisa para levar em conta é que o phrack faz uma revisão de cada artigo que é submetido à eles, então dificilmente vai subir algo com algum malware de fato. Mas, posso estar totalmente errado e ter perdido algo! Qual alarme exatamente o firefox te deu ? Ele disse algum arquivo dentro desse tar.gz que tivesse algo malicioso ? Link to comment Share on other sites More sharing options...
0413anonymous Posted February 22, 2021 at 11:47 AM Author Share Posted February 22, 2021 at 11:47 AM 8 hours ago, anderson_leite said: Acho que eu devia ter colocado a "analise" kk, é que de fato são apenas txt com publicações do phrack. Sim testei, olha só: file *.txt 1 ↵ luria@cyberia 1.txt: ASCII text 10.txt: UTF-8 Unicode text 11.txt: UTF-8 Unicode text 12.txt: ASCII text 13.txt: ASCII text 14.txt: ASCII text 15.txt: ASCII text 16.txt: ASCII text 17.txt: ASCII text 2.txt: ASCII text 3.txt: ASCII text 4.txt: ASCII text 5.txt: ASCII text 6.txt: assembler source, ASCII text 7.txt: ASCII text 8.txt: ASCII text 9.txt: ASCII text, with CRLF line terminators Todos os arquivos são de texto, também fiz questão de abrir cada um, tanto em texto quanto em hexa, para checar se tinha algo mal formado dentro, porém todos são legitimos do site do phrack. Acontece que algumas publicações do Phrack contém arquivos encodados em texto, dá uma olhada no 5.txt, no finalzinho dele tem um arquivo encodado em texto usando o uuencoding, que é uma maneira de representar binarios em texto, dessa maneira o arquivo RDS_Demodulator.ps.gz fica dentro do txt e você so precisa copiar o texto e usar alguma ferramenta como uudecode para fazer o decoding do texto de volta para os valores reais. O que acontece é que talvez o firefox interprete isso como malicioso e barre por conter esses dados "estranhos". Outra coisa para levar em conta é que o phrack faz uma revisão de cada artigo que é submetido à eles, então dificilmente vai subir algo com algum malware de fato. Mas, posso estar totalmente errado e ter perdido algo! Qual alarme exatamente o firefox te deu ? Ele disse algum arquivo dentro desse tar.gz que tivesse algo malicioso ? Show, rapaz! Que maravilha de análise! Mesmo não tendo porra nenhuma, valeu o tópico pela aula que tu deu aí (pelo menos pra mim, hehe)... Então, fiz o download "manualmente" dando tab no index of mesmo (tô em máquina Windows, senão teria usado o wget recursivamente e já era - se bem que até tem um wget pro Windows... Bom, dane-se!) da página, aí quando conferi em Downloads (aba do Firefox mesmo) notei um círculo vermelho em cima da seta que fica azul quando acaba os downloads e estranhei (já tinha visto amarelo, mas vermelho primeira vez - amarelo é pra quando falha), aí fui checar e deu uma mensagem que o Firefox detectou possível malware no arquivo e se eu queria baixar assim mesmo. Fiquei com o ** na mão e, eis que aqui estamos!!!! Abraço e obrigado pela atenção, parceiro! Link to comment Share on other sites More sharing options...
0413anonymous Posted February 24, 2021 at 05:08 AM Author Share Posted February 24, 2021 at 05:08 AM @anderson_leite, rapaz, eu fiquei encucado com isso e fui olhar de novo o que tu postou e, só reparei agora!!!! Se liga no 6.txt... Tem um código fonte de assembly ali (faz parte do artigo... Não é malware mesmo)... Será que foi isso que Firefox detectou e pensou ser um malware em assembly (sei lá como funciona o método de detecção deles de ameaças, mas imagino que neste caso foi algum parser deles que olha dentro do txt...)? Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.