Virus in Replay??

[Krass[mogeln]]

Hi!

Ich hab ein Problem!

Ich wollte kürzlich ein Replay per email (hotmail) an jemanden schicken, doch hotmail.com verbot mir das schicken des Reps, da es ein virus sei...
Das verschicken von ner .doc-Datei funktioniert ganz normal, nur mit reps streikt hotmail.

Jetzt wollte ich fragen ob es sein kann dass sich ein Virus in einem Rep befindet, oder ob ich mir beim runterladen eines reppackets vielleicht einen auf den comp geholt hab.

Ich lade mir auf diesen Computer ausschließlich Reps runter (und das eigentlich selten), sonst lade ich nichts (also kein kazaa...)

Oder denkt das hotmail.com Programm nur ein rep sei ein virus??

Bitte um Hilfe, denn wenn ich tatsächlich nen virus drauf hab dann is blöd

 

[[For]Hood2]

Es gibt da Software die nennt man Virenscanner damit kann man sein System prüfen.

Abgesehen davon ist es doch eher unwahrscheinlich das ein Virus eine .rep Datei befällt.

 

[Picard]

nehme eher an hotmail lässt die dateiendung nicht zu und du hast dich evtl verlesen á KÖNNTE virus enthalten?

viren befahlen meistens nur ausführbare program/script dateien

 

[Observator]

Unwahrscheinlich. Wenn man replays so manipulieren könnte, dass SC darin eingefügten Programmcode ausführt, würde diese Sicherheitslücke bestimmt schnell bekannt und auch von Blizzard gepatcht werden.

Gratis Email von Yahoo ist übrigens >>> hotmail da im Vergleich zu hotmail:
+ "Wegwerfwerfadressen"
+ POP3 Zugriff
- Anhangsperre gegen .rep Dateien
- unverschämterweise angeängter Werbesignatur an die eigenen losgeschickten emails, wenn man SMTP benutzt

 

[pericolum]

fisheye meinte mal das er nen virus in nem replay hätte ... deshalb konnte er wochenlang net vs me zocken ... vieleicht wars ja ne ausrede, aber gehört hab ich davon schon obwohl ich selber damit noch keine erfahrung gmacht habe

 

[Picard]

naja ausgeführt wirds ja wohl nicht, sondern der inhalt der .rep file wird eingelesen und verarbeitet. und was sc net kennt, kanns net ausführen

 

[Gast]

a) false positive
b) schwachsinn

 

[Observator]

Original geschrieben von Picard)STF
naja ausgeführt wirds ja wohl nicht, sondern der inhalt der .rep file wird eingelesen und verarbeitet. und was sc net kennt, kanns net ausführen

Prinzipiell stimmt das ja, nur können wir nicht ganz ausschließen dass es in SC noch unbekannte Schwachstellen gibt. Dass sich z.B. durch eine fehlerhafte replay Datei der Programmteil von SC der diese einliest und verarbeitet verhaspelt und dadurch in der Datei enthaltene Daten an die falsche Stelle im Arbeitsspeicher schreibt wo sie dann doch als Programmcode ausgeführt werden. Virenautoren suchen nach solchen Schwachstellen um diese dann gezielt auszunutzen. Computer Sicherheitsexperten auch, um sie zu melden damit sie gepatcht werden und dann evtl. ihren Fund zu veröffentlichen.

 

[Picard]

naja man könnte höchstens nen script einbringen was bw/sc zum abschmieren bringt

aber keinen virus / wurm / trojaner mit solchen aktionen wie "del *.*"

also z.b. der w32.blaster wird nicht in nem rep vorhanden sein können. das einzige interessante ist finde ich das sogenannte ADS - Alternate Data Stream. Dabei kann man an eine beliebige file im ntfs daten "anhängen". Allerdings mit copy / move / dl / ul aktionen is dieser stream wieder verschwunden

da hatte ich mir mal überlegt... ads auf nem windows server... 50mb space
knallst ne txt drauf mit 1kb größe
ads mit 10 gig files dran
= server merkt das nicht = gg ^^

 

[Observator]

Was ich meinte sind Dinge wie ein Pufferüberlauf.

JPEG als ein Bildformat ist ein gutes Beispiel für einen passiven Dateityp. Wenn der Parser der die Datei ausliest nicht gänzlich fehlertolerant ist gegenüber dem Inhalt ist, dann kann es trotzdem durch gezielte Ausnutzung dieser Schwachstelle möglich sein einen Teil der Datei als Programmcode auszuführen.

Beispiel: http://www.heise.de/security/news/meldung/51070

 

[Thubb]

theoretisch ist es bei jeglichem dateiformat möglich buffer-overflows/underruns zu produzieren...

 

[Picard]

Original geschrieben von Observator
Was ich meinte sind Dinge wie ein Pufferüberlauf.

JPEG als ein Bildformat ist ein gutes Beispiel für einen passiven Dateityp. Wenn der Parser der die Datei ausliest nicht gänzlich fehlertolerant ist gegenüber dem Inhalt ist, dann kann es trotzdem durch gezielte Ausnutzung dieser Schwachstelle möglich sein einen Teil der Datei als Programmcode auszuführen.

Beispiel: http://www.heise.de/security/news/meldung/51070

jo k hab ich nu auch net dran gedacht ~~
nur aufs topic bezogen: das wird absolut kein viren prog erkennen. er meinte es sicher so das sich in nem rep ein bekannter virus á z.b. sasser befindet

 

[Observator]

Original geschrieben von Thubb
theoretisch ist es bei jeglichem dateiformat möglich buffer-overflows/underruns zu produzieren...

Und je komplizierter und interaktiver die Verarbeitung des Dateiformats, desto wahrscheinlicher ist es, dass es in einem gegebenen Programm das dieses Dateiformat verarbeitet eine solche Schwachstelle gibt. Bei einem ASCII Texteditor dürfte es schwierig werden.

Original geschrieben von Picard)STF


jo k hab ich nu auch net dran gedacht ~~
nur aufs topic bezogen: das wird absolut kein viren prog erkennen.

Doch, das wäre schon möglich. Selbst wenn es keine bekannten (in der Virendatenbank des Antivirus enthaltenen) Komponenten beinhaltet, gibt es noch die Möglichkeit, dass der Virus heurischisch erkannt wird.

 

[Gast]

sobald thubb mir ne .txt schickt die mir nen bsod beschert mag ich ihn wieder.
und n rep is nich viel mehr.

klar: wenn da n freak am werk is, der den sc replay parser auseinandergelegt hat, ne schwachstelle gefunden hat, die ihm erlaubt, ungeprüften code einzulesen und dann ein replay dazu benutzt eine externe datei zu erstellen, ins system zu schmuggeln und zu aktivieren, dann KÖNNTE man auch n trojaner per replay einschleusen.

könnte.

wenn ich die schwierigen schritte fett markiere kann ich den ganzen absatz fett machen.

also nix gegen gesunde vernünftige paranoia im internet aber das is sicher bullshit.

ich fordere fishy hiermit auf, mich mit seinem pöhsen replay-virus zu infizieren!!!111...