Jump to content

Malware no site da Phrack


Recommended Posts

Galera, fui baixar a Phrack 64 e eis que o Firefox acusou que o arquivo tem malware dentro...

 

Confiram vocês mesmos: http://phrack.org/archives/tgz/phrack64.tar.gz

 

A questão é: será que é malware mesmo ou será que é só um falso positivo? Mas, falso positivo com arquivos que, teoricamente, deveriam ser somente txt? Hehehehehehehehe.

 

Abraços!

Link to post
Share on other sites
9 hours ago, anderson_leite said:

É um falso positivo, as vezes o firefox alerta quando é acessado algum dominio ou conteudo que contenha algo ligado a hacking.

Tu testou ou é somente um palpite?

 

Veja bem, postei aqui, justamente porque aqui tem uma galera que manja muito mais do que eu... E, se tem treta ali, alguém vai descobrir, hehe. E, claro, evita que desavisados sejam infectados caso haja algo mesmo.

 

Mas, vamos supor que você esteja certo... Por que o Firefox considerou somente o 1 (o 64) dos 69 disponíveis no site? Estranho, não?!

 

Enfim... Não tô duvidando de tu, porém se tu analisou o arquivo e tal, poderia contar pra gente? Se não, acho melhor aguardar mais comentários (se é que alguém se interessará por isso, claro).

 

Abraços!

Link to post
Share on other sites
  • Apoiador Nibble

Acho que eu devia ter colocado a "analise" kk, é que de fato são apenas txt com publicações do phrack.

 

Quote

Tu testou ou é somente um palpite?

Sim testei, olha só:

file *.txt                                                                                                                                                          1 ↵ luria@cyberia
1.txt:  ASCII text
10.txt: UTF-8 Unicode text
11.txt: UTF-8 Unicode text
12.txt: ASCII text
13.txt: ASCII text
14.txt: ASCII text
15.txt: ASCII text
16.txt: ASCII text
17.txt: ASCII text
2.txt:  ASCII text
3.txt:  ASCII text
4.txt:  ASCII text
5.txt:  ASCII text
6.txt:  assembler source, ASCII text
7.txt:  ASCII text
8.txt:  ASCII text
9.txt:  ASCII text, with CRLF line terminators

Todos os arquivos são de texto, também fiz questão de abrir cada um, tanto em texto quanto em hexa, para checar se tinha algo mal formado dentro, porém todos são legitimos do site do phrack.

Quote

Mas, vamos supor que você esteja certo... Por que o Firefox considerou somente o 1 (o 64) dos 69 disponíveis no site? Estranho, não?!

Acontece que algumas publicações do Phrack contém arquivos encodados em texto, dá uma olhada no 5.txt, no finalzinho dele tem um arquivo encodado em texto usando o uuencoding, que é uma maneira de representar binarios em texto, dessa maneira o arquivo RDS_Demodulator.ps.gz fica dentro do txt e você so precisa copiar o texto e usar alguma ferramenta como uudecode para fazer o decoding do texto de volta para os valores reais. O que acontece é que talvez o firefox interprete isso como malicioso e barre por conter esses dados "estranhos".

Outra coisa para levar em conta é que o phrack faz uma revisão de cada artigo que é submetido à eles, então dificilmente vai subir algo com algum malware de fato.

Mas, posso estar totalmente errado e ter perdido algo! Qual alarme exatamente o firefox te deu ? Ele disse algum arquivo dentro desse tar.gz que tivesse algo malicioso ?

 

Edited by anderson_leite
  • Agradecer 1
Link to post
Share on other sites
8 hours ago, anderson_leite said:

Acho que eu devia ter colocado a "analise" kk, é que de fato são apenas txt com publicações do phrack.

 

Sim testei, olha só:


file *.txt                                                                                                                                                          1 ↵ luria@cyberia
1.txt:  ASCII text
10.txt: UTF-8 Unicode text
11.txt: UTF-8 Unicode text
12.txt: ASCII text
13.txt: ASCII text
14.txt: ASCII text
15.txt: ASCII text
16.txt: ASCII text
17.txt: ASCII text
2.txt:  ASCII text
3.txt:  ASCII text
4.txt:  ASCII text
5.txt:  ASCII text
6.txt:  assembler source, ASCII text
7.txt:  ASCII text
8.txt:  ASCII text
9.txt:  ASCII text, with CRLF line terminators

Todos os arquivos são de texto, também fiz questão de abrir cada um, tanto em texto quanto em hexa, para checar se tinha algo mal formado dentro, porém todos são legitimos do site do phrack.

Acontece que algumas publicações do Phrack contém arquivos encodados em texto, dá uma olhada no 5.txt, no finalzinho dele tem um arquivo encodado em texto usando o uuencoding, que é uma maneira de representar binarios em texto, dessa maneira o arquivo RDS_Demodulator.ps.gz fica dentro do txt e você so precisa copiar o texto e usar alguma ferramenta como uudecode para fazer o decoding do texto de volta para os valores reais. O que acontece é que talvez o firefox interprete isso como malicioso e barre por conter esses dados "estranhos".

Outra coisa para levar em conta é que o phrack faz uma revisão de cada artigo que é submetido à eles, então dificilmente vai subir algo com algum malware de fato.

Mas, posso estar totalmente errado e ter perdido algo! Qual alarme exatamente o firefox te deu ? Ele disse algum arquivo dentro desse tar.gz que tivesse algo malicioso ?

 

Show, rapaz! Que maravilha de análise! Mesmo não tendo porra nenhuma, valeu o tópico pela aula que tu deu aí (pelo menos pra mim, hehe)...

 

Então, fiz o download "manualmente" dando tab no index of mesmo (tô em máquina Windows, senão teria usado o wget recursivamente e já era - se bem que até tem um wget pro Windows... Bom, dane-se!) da página, aí quando conferi em Downloads (aba do Firefox mesmo) notei um círculo vermelho em cima da seta que fica azul quando acaba os downloads e estranhei (já tinha visto amarelo, mas vermelho primeira vez - amarelo é pra quando falha), aí fui checar e deu uma mensagem que o Firefox detectou possível malware no arquivo e se eu queria baixar assim mesmo. Fiquei com o ** na mão e, eis que aqui estamos!!!!

 

Abraço e obrigado pela atenção, parceiro!

  • Curtir 1
Link to post
Share on other sites

@anderson_leite, rapaz, eu fiquei encucado com isso e fui olhar de novo o que tu postou e, só reparei agora!!!! Se liga no 6.txt... Tem um código fonte de assembly ali (faz parte do artigo... Não é malware mesmo)... Será que foi isso que Firefox detectou e pensou ser um malware em assembly (sei lá como funciona o método de detecção deles de ameaças, mas imagino que neste caso foi algum parser deles que olha dentro do txt...)?

Edited by 0413anonymous
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...