Почему не заразит? Заразит все локальные медиафайлы которые тебе принадлежат, например.

А в виндовс вообще нет рута обычно. ;)

Все пиздец! Теперь в инет только с гондонами надо лазить,

Так вот локальные медиафайлы не есть p2p-serving software!

О брат, трудно тебе будет с хакерами бороться :)

>Ну оч интересно что дало этим ребятам повод написать "all p2p-serving software on the machine is infected" :-)

Видимо ребята нашли системную фунцию которая вызывается большинством
из p2p soft-а. Но работает с ограниченным количеством OS.
Те для SuSe 8.0 , Slakware 8.0 и тд. Если стоит своя версия glibc - то может
и не сработать

Добаляют себя к mp3 файлу, при проигрывании файла вызывается Linux shell.
Заражает другой mp3. и тд
Те распрострянятся будет с mp3. А не лазить по сети, как некоторые подумали ;)

Если не будет прав на запись в mp3 файлы - вполне возможно вирус не будет распространятся ...

ни одна серьезная новостная компания об этом не написала. 3.14здеж всё это

да им не до этого они у себя червя вычищают

>Предположим, что в mpg123 есть функция называющаяся как mpg123_play.
>Она декодирует mp3 stream и пытается его проиграть. Можно сделать такой
>трюк.

>(1) Изменить поток таким образом, чтобы mpg123 перезаписал часть стека во
>времен декодирования/чтения хедера, etc.

>(2) Когда проигрывание закончится (или даже не начется в силу измененного
>потока), управление перейдет коду который расположен где то в теле
>проигрываемого mp3.

>(3) Этот код может сделать все что угодно с текущим процессом (на что есть
>пермишны). Например форкнуть программу mail.

2Banshee: Теоретически такой бред возможен, и то под большим сомнением,
mpg123 очень чуствителен к формату фрейма, на любом левом фрейме он вылетает и делает exit, это примерно выглядит как битый CRC в архиваторах,
если и найдутся уникумы, которые смогут на распаковке подсунуть код
и его выполнить через программу, которая не умеет ничего выполнять,
то появление марсиан на земле будет такой же реальностью, как и этот
"всемогущий" mp3 формат, который будет способен выполнить любую
программу через mpg123.... Я уж в марсиан больше верю..... :)))
Скорее всего такое возможно будет только после модификации программы,
но для этого нужно постараться....

Сколько денег платишь за .mp3 который при проигрывании из mpg123 (определенной версии) под Linux пошлет мыло на некий заранее предопределенный адрес? ;)

>Видимо ребята нашли системную фунцию которая вызывается большинством >из p2p soft-а. Но работает с ограниченным количеством OS. >Те для SuSe 8.0 , Slakware 8.0 и тд. Если стоит своя версия glibc - >то может >и не сработать > >Добаляют себя к mp3 файлу, при проигрывании файла вызывается Linux >shell. >Заражает другой mp3. и тд >Те распрострянятся будет с mp3. А не лазить по сети, как некоторые >подумали ;) > >Если не будет прав на запись в mp3 файлы - вполне возможно вирус не >будет распространятся ...

Друг, ты это сам соченил? Не позорься! Я про конкретную программу говорил, а она совсем не так работает.

1. linux_shellcode выполняется в стеке (shell тут ни при чём) 2. glibc здесь вообще никаким боком не стоит ибо системные вызовы делаются через int 80 3. exploit просто позволяет сделать exec любой программы записанной в mp3, а это ещё далеко не катострофа

2green:
>Сколько денег платишь за .mp3 который при проигрывании из mpg123
>(определенной версии) под Linux пошлет мыло на некий заранее
>предопределенный адрес? ;)

А определенная версия будет твоей? :))))

Нет, разумеется ;)
Имеется в виду какая-либо конкретная уже зарелизенная версия mpg123 на мой выбор.

2green:

>Нет, разумеется ;)
>Имеется в виду какая-либо конкретная уже зарелизенная версия mpg123 на
>мой выбор.

Всеравно не интересно.... Это будет exploit под конкретную программу и
под ее конкретную версию, что никак не стыкуется с данной новостью,
если ее можно назвать новостью, а не фейком чистой воды...

Irsi дело говорит :)
о возможном разрешении на взлом - http://zdnet.ru/?ID=223262
о дырках в WMP и WinAMP - http://zdnet.ru/?ID=293518

имхо, парни объявят через некоторое время, что это шутки у них такие.. заодно рекламу себе сделают нахаляву.

Ты будешь смеяться, но больинство экспройтов написано под конкретную программу. А значительное их количество под определенный набор версий.

К тому же предложенные мнной условия удовлетворяют твоим запросам. программа в оригинале не содержит той функциональности, которую необходимо сделать.

>Всеравно не интересно.... Это будет exploit под конкретную программу и
>под ее конкретную версию, что никак не стыкуется с данной новостью,
>если ее можно назвать новостью, а не фейком чистой воды...

Вот абсолютно согласен. ИМХО так оно и есть.

Спокойно

Не рекомендую особо бояться. GOBBLES распространили своё заявление в письмах с битыми PGP-подписями. Ситуация с GOBBLES интересная: были случаи дезы от них или того, кто ими (им?) представляется. Да и весьма широкий список уязвимых программ настораживает. Не забывайте: бизнес ZDNet и прочих - новости. Разве кто из Security Community подтвердил, что дырка (дырки) есть?

Так что: спокойно.

Насчет того, что во всех этих программах могут быть дырки, очень возможно, ибо разработчики медиаплееров думают в первую очередь все же о функциональности, а не о безопасности. Но вот возможность сделать один mp3, который будет одновременно эксплоитить mpg123, xmms и winamp мне кажется очень мало вероятной. Также маловероятеа avi, которая экплоитит одновременно mplayer и WMP, учитывая что народ юзает различные версии этих программ. В итоге Гобблесам пришлось бы заражать кучу медиафалов различными эксплоитами для разных платформ/программ, я не говорю о том что в экплоите как правило должен быть разный адрес стека в зависимости от дистрибутива/версии ядра и т.п. Насчет винды не уверен, но думаю одинаковый экплоит для всех версий тоже маловероятен, то есть вирус должен держать в себе целый набор эксплоитов, который должен быть немаленьким, при этом даже если он сработает, он сможет заражать один медиафайл только одним вариантом экплоита. Есть возможность, что вирус подкачивает необходимые версии экплоитов с какого-то сайта после того как разведает обстановку, но для того чтобы разведать обстановку, ему нужно сначала успешно проэексплоитить программу, получаем замкнутый круг. Хоть теоретически это все возможно, но практически реализовать это будет трудно. Стоит отметить что такие p2p системы как edonkey опознают файлы по MD4 хешу а не по имени или каким то другим параметрам, плюс считаются MD4 хеши отдельных кусков файла, этот факт еще сильней затруднит заражении. Я вот думаю, почему Гобблесы стали копать в сторону дыр в медиаплеерах , а не в самих клиентах или серверах p2p сетей, это ведь было бы более логично. p2p клиенты и сервера висят на портах как и обычные сетевые сервисы, да и качества кода большинства p2p клиентов и серверов оставляет желать лучшего, да и не надо будет потом сканить список медаифайлов на винте, как правило p2p клиенты это уже сделали :) То есть такой сценарий мне кажется гораздо более реальным. А насчет легальности, думаю у RIAA хватит денег на адвокатов чтобы доказать законность сбора информации о пиратах, но вот заявления Гобблесов, что они делают DDoS сеть лично для себя довольно смелое, ибо я не знаю как можно оправдать такую деятельность

2anonymous (*) (2003-01-14 19:47:24.981): не думаю... вспомни исторю с рассылкой счетов на оплату "нелегального музыкального контента, найденого на Ваших дисках". Подавляющее большинство предпочло оплатить, а не судиться.
Здесь расчет очевиден - это еще один повод для тех руководителей и админов, кто хочет запретить своим сотрудникам, студентам и т.д. участвовать в р2р сетях. Вплоть до увольнения/отчисления, преследований в судебном порядке и т.д. А ведь очень значительная часть участников таких сетей, скажем так - наиболее активные ее участники обычно используют доступ через университетские, корпоративные и прочие совсем не личные сети...:)

>Ты будешь смеяться, но больинство экспройтов написано под конкретную >программу. А значительное их количество под определенный набор версий.

....Спасибо! Незнал.....:))))

>К тому же предложенные мнной условия удовлетворяют твоим запросам.
>программа в оригинале не содержит той функциональности, которую
>необходимо сделать.

Мы говорим про теорию, а не как сделать переполнение буфера в конкретной
программе учитывая ее версию и присущих этой версии набора ошибок, ведь
формат mp3 придется под каждый чих менять, что не соответсвует
утверждениям об грядущей катастрофе. Так что в марсиан я еще верю....:)

так что похоже, что письмо действительно фейк, и это была ложная тревога, но как я писал в прошлом постинге, написать червь, который будет экплоитить сами p2p клиенты или сервера вполне реально, так что разработчикам p2p софта/протоколов стоит уделить больше внимания безопасности

P.S. а эксплоит для mpg123 стоит проверить :)

anonymous (*) (2003-01-14 20:02:15.722): читай внимательно предыдущие мессаги - там была ссылка на статью в которой расказывало что RIAA УЖЕ ПОЛУЧИЛА индульгенцию на подобные телодвижения...

2anonymous (*) (2003-01-14 19:47:24.981):

По ссылке на дырки в Winamp и WMP (http://zdnet.ru/?ID=293518) ничего не говорится о GOBBLES. Это уже относительное старьё. M$-овская проблема.

Да, и какое это имеет отношение к Linux и OpenSource?

Блин ну я не могу. С серьезным видом обсуждают новости с регистера! Почитайте луче это:

Какие, спрашиваете, новости? Есть только одна новость, которая обошла все средства массовой информации и все радиостанции. Я эту новость слушаю уже неделю в разных вариантах, а теперь еще и в интернетовских СМИ она является хитом номер один, и по ней изготовлено штук двести всяких разных баннеров, которые крутятся в хвост и гриву. Разумеется, вы уже знаете, о чем идет речь. Событие настолько эпохального значения не могло пройти незамеченным! Оно сродни "Повести о том, как поссорились Иван Иванович с Иваном Никифоровичем". Только на этот раз ссора произошла у более титанических фигур. И об этом рассказали все! Ибо нет повести печальней в этом мире, чем история о том, как Филипп Бедросович Киркоров поссорился с Юрием Юлиановичем Шевчуком.

К счастью, наши СМИ (что офлайновые, что интернетовские) данную эпопею рассказывают с настолько значительными вариациями, что ее интересно слушать даже на пятый день. Из всего этого потока информации я выяснил, что:

1) Филя зверски избил Юру и выбил ему зуб, сообщает журнал "Жисть".

2) Юра был в дупель пьян и вел себя непотребно, оскорбляя Филю и евонную супругу, рассказывает сайт "Пока все в постели".

3) Филя побоялся связываться с Юрой и дал приказ своей охране отметелить народного певца, сообщила "Утречко.ру".

4) Юра подбил глаз пришедшему с Филей Галкину, и Филя, побоявшись за друга, схватился с Юрой в смертельной битве, объяснил "Подмосковный коммунист".

5) Юра спросил Филю, что он делает в его городе - Питере. Филя сказал, что Питер - город Фили, а город Юры - Уфа, сообщено на сайте уфимских партизан.

6) Зуб Юре никто не выбивал. Охрана Фили зверски напала сзади и разорвала известному певцу карман, рассказали в издании "Тонкорунный текстиль".

7) Охрана Фили часов пять избивала лежащего Юру, а Филя крутился вокруг и пинал певца по ребрам. Информация с сайта "Копромат.ру".

8) Юра успел начистить Филе рыло, однако растерявшаяся было охрана Фили очнулась от летаргии и разбила Юре губу, смакуется на сайте "Деньки.ру".

9) Галкин в драке не участвовал, но есть сведения, что буйный Юра подбил Максу баки, объявили на "Сму.ру".

10) После сражения с охраной Фили Юра отправился домой, чтобы пить колодезную воду. Он не был пьян, потому что вообще не пьет, рассказали в издании "ОРЗ-инфо".

11) Юра был пьян в такую зюзю, что перепутал Галкина с Пугачевой и грубо сказал Галкину: "Ну что, сука, допелась?" Филя оскорбился за жену (понимая, что Юра принимает за нее Галкина) и сказал Юре, что Юра-то как раз в Питере не может собрать и Дом культуры, а Филя в Питере собирает стадионы. Юра обиделся и выбил себе зуб о башку Фили, информируют на страницах "Красного партийца" .

12) На самом деле Филя обижен на Юру за то, что тот опубликовал в Интернете аудиозапись, на которой Филя поет под фанеру. Сам Юра под фанеру никогда не поет. Однако бабла зарабатывает намного меньше, чем Филя. За это Юра на Филю тоже обижен, поведали в издании "Предвестник".

13) Никакой драки не было, а самое главное - в лобби-баре не наблюдали ни Шевчука, ни Киркорова. Подрались же пьяный Маликов с Машей Распутиной. При этом Маша кричала всякие гадости и презрительно называла Маликова Туликовым. Обиженный Маликов заявил, что вся популярность Маши - за счет ее задницы, а не голоса, после чего началась безобразная сцена с участием секьюрити отеля, которые пытались оттащить за задницу Распутину от Туликова, пардон, Маликова. Эта информация поступила из издания "Новости культуры".

14) В процессе словесной перепалки Юра два раза назвал Филю "задрипыш" и употребил выражение "выкидыш овечий". Филя в запале ответил, что, цитируем: "Вы, Юрий Юлианович, ведете себя непозволительно. Я прошу вас прекратить эти безобразия". После чего Юра вырвал себе зуб и попытался изрисовать этим зубом Филе рожу. Сообщение почерпнуто с сайта "Ночнушка.ру".

К сожалению, у меня было не так много времени, чтобы исследовать большинство СМИ, поэтому картина осталась неполной. Однако меня вот что поразило: нашлось несколько изданий (правда, это буквально единицы), которые ничего не написали об этом потрясающем и эпохальном событии. О чем это говорит? Вероятно, о том, что в данных изданиях работают ограниченные люди. Ну или же они просто не держат руку на горле пульса прогресса.

(c) http://www.exler.ru

>P.S. а эксплоит для mpg123 стоит проверить :)

Ну пусть green его сделает в благотворительных целях, под ту версию,
которую он сам пожелает, что бы попроще было.... :)))

>Но вот возможность сделать один mp3, который будет одновременно

>эксплоитить mpg123, xmms и winamp мне кажется очень мало вероятной.

ВО! Верно! С каких это пор UNIX-стэки совместимы с Win32? Универсальный шеллкод? Это пока из области науки (или научной фантастики)!

lokhin: это имеет отношение к теме про RIAA, червя и p2p :) по поводу Gobbles - продолжаю считать, что это не более чем дешевый трюк.. и упомонание Gobbles в статье совсем не обязательно. старье-старьем, но как к топику подходит :)

2 Irsi хорошо, пусть RIAA получила индульгенцию, но вот кто-нибудь из частных лиц или негосударственных организаций получал индульгенцию на создание DDoS сети?

2anonymous (*) (2003-01-14 20:18:50.053): читай внимательно - фактически любой в США имеет право заниматься созданием DDoS сети, если DDoS используется "для предотвращения непрапровных действий"... Фактически это означает, что любой кого просканили может в ответ завалить обидчика...:) "Бог создал человека, а полковник Кольт уравнял их права"... Смех, смехом, но... ну чего ты хотел от этих дикарей? ;)

2anonymous (*) (2003-01-14 20:17:11.983):

Понял. Согласен. Если обидел, прошу прощения. )

2 Irsi "Бог создал человека, а полковник Кольт уравнял их права"... я сильно сомневаюсь, что простой сметрный в США сможет воспользоваться правом применять такие меры. Но RIAA и BSA вполне могут. Медиа индустрия в США приносит такие прибыли, что уже может считаться стратегически важной частью экономики страны. А p2p сети наносят довольно ощутимый удар по этой индустрии. И самое обидное для RIAA и BSA, что они ничего не могут поделать с p2p. Как оказалась, комуниздить любят не только в ex-СССР, как некоторые могли подумать :) Вот медиа индустрия и требует от государства все больше и больше полномочий. Так гляди дойдет, что RIAA и BSA создатут "тройки" которые сами будут вести следствие, "вершить правосудие" и приводить закон в исполнение :( Можно конечно смеятся с диких американцев, но у нас лобби медиамагнатов тоже постепенно становится сильнее чем лобби пиратов, а к чему приведет в нашей стране придание подобным организациям "особых полномочий" даже думать не хочется. Ибо уже есть опыт с рейдами омона за пиратским софтом.

2anonymous (*) (2003-01-14 20:39:39.611): не спорю - "все звери равны, но некоторые ровнее остальных". Но с другой стороны если негражданин США просканит машинку гражданина США, а тот в ответ завалит его тачку и дело дойдет до суда, то гражданина США оправдают по всем статьям.
Особо это интерсно становится потому что в DoS/DDoS атаках нередко "толшина пиписьки" (АКА канала) является решающей... Ну а где они самые толстые я думаю тебе объяснять не надо...
Вообщем это решение суда не более чем еще один кирпичик в попытках США утвердится в качестве мирового жандарма имхо... Бомбим кого хотим, валим кого хотим, судим кого хотим и как считаем нужным... Ничего особо нового имхо нет...

Irsi (*) (2003-01-14 20:46:43.244):

А можно полную ссылку на статью о DDos - может быть там можно и оправдать и DDos на корневые DNS? А вдруг они нам неправильную информацию могут передать?

2anonymous (*) (2003-01-14 20:52:39.639):
http://zdnet.com.com/2100-1106-946341.html
Кратко говоря - нет, нельзя, владельцы root dns не использовали их для совершения противоправных действий. :)

Irsi (*) (2003-01-14 20:58:47.007):

Довольно легко - посылается им письмо, содержащее нелегальную копию mp3 файла, а дальше по накатанной схеме. Т.к. файл на винчестере уже есть.

Другое дело, то что сам стиль той дурацкой статьи от <gobbles@hushmail.com>, которая, тем не менее подписана, слишком угожающий и указывает на то, что это утка.

И потом, если я не ошибаюсь mpg123 давно исправили, а mplayer xxx.RCy выходит вообще с регулярностью раз в неделю. Странно было бы, чтобы там не исправили эту ошибку. Далее, неужели так сложно найти у себя за месяц троян? Мне казалось, что весть о такой программе должна была появится сначала от антивирусных компаний, если уж заражены 95% компьютеров... За месяц-то кто-нибудь из такого огромного количества народу что-нибудь да нашел бы.

И наконец, неужели так мало UNIX машин с не х86 архитектурой и p2p клиентов для них? А на том же Sun xmms должен был бы просто вылететь! И причем стабильно вылетать на определенном .mp3. И за месяц об этом не узнать... Странно.

> Так RIAA сама по себе ничего не писала. К тому же это международная
> организация.

Как меня это задрало. Если не знаешь, чё, лень просветиться
и сходить на www.riaa.com, где тебе сообщат, что это
recording industry association of america?
Ну как можно быть таким пидарасом, а?

По слухам в мире целых две америки, северная и южная, и государств там не меньше десятка.

Блефуют от бессилия. Насколько я понимаю, это та же самая лавочка, которая якобы послала счета некоторым ословодам в Дании? Тогда почему послали "некоторым" а не всем кого нашли? А ясно почему - потому что на самом деле никому не послали. Зато все будут думать что это их пока пронесло. Как они тогда сообщили - многие заплатили. А остальные - которые НЕ заплатили? Ни одного суда по тому поводу не было. Стало быть - опять вранье.

Теперь эта "новость". Кто понимает что к чему просто проигнорируют. Остальные же (которых подавляющее большинство) - проглотят.

Ну предположим что это правда
НАСРАТЬ!!!

По моему этим товарищам хватит курить траву.

2Irsi
Не гони, где написано что хоть ОДИН заплатил каким-то вымогателям? К тому же кому платить то тем кто отсканил? А с какой радости? А то что судиться никто не стал так это точно, просто выкинули в помойку счет и все проблемы.
Если я тебе счет пришлю ты заплатишь?
И вымогатели эти судиться не стали по двум причинам:
1) Чтобы судиться надо быть потерпевшим, я например не могу пойти судиться за авторские права Битлов, потому что я к ним отношения не имею, так же как и датские павлики морозовы к песням. И если Вася из соседней квартиры избивает жену то судить я его тоже не могу, может государстово (штат Нью-Йорк или еще кто-нибудь).
2) Скриншот в качестве доказательства это просто смешно.
3) Даже если дело бы дошло до суда то надо еще ДОКАЗАТЬ то что у кого-то на диске дествительно лежила незаконные файлы. Слышал о презумпции невиновности? Мне даже и оправдываться не надо, пусть сначала докажут что я действительно сделал что-нибудь не законное.

А теперь про всякие черви. В америке много законов в каждом штате, а конституция одна. И если какое-нибудь дело дойдет до суда то RIAA сразу обламается, так как есть еще в америке конституция а там написано о неприкосновенности частной собственности и еще много всего. И улика собраная незаконным путем никогда не будет принята в суде и никакой закон не поможет. А взлом компьютера это тоже что взлом квартиры.

2green:
Ну что, не нашлось тут ни одного смелого ;( Ладно, так уж и
быть, принимаю твой вызов. Плачу тебе 100 галактических
кредиток за успешную демонстрацию фокуса. Письмо должно уйти
на мой адрес: anno-nymbous@linux.org.ru (смотри не перепутай!).
В случае неуспешного показа ты должен будешь навегда отказаться
постить свои новости, проверенный тобой же. Срок действия
моего предложения одна световая неделя.

2 anonymous (*) (2003-01-14 22:52:34.368)

слухай, а сам subject не ты ли написал ? а то уж больно трава похожая :)

Irsi, не приняли еще эту индульгенцию Бермана, не приняли! Они там еще не совсем все с ума сошли, чтобы так быстро ее принять. Это всего лишь проект. Это даже в обсуждаемой статье вскользь упомянуто. Последнее предложение. "Berman is expected to re-introduce the bill in this Congressional session." Посмотрим, что у него из этого выйдет.

А ведь вся эта история - прямое предложение всем здравомыслящим людям переходить на формат OGG Vorbis

2anonymous (*) (2003-01-15 00:37:26.686):

Очевидно - нет, а почаще обновлять ВСЕ ПО установленное на машине.

А на самом деле очень печально то, что все вроде бы и идет к созданию таких вирусов и червей... По крайней мере с WMediaPlayer&winamp...

> Срок действия моего предложения одна световая неделя.

> рямое предложение всем здравомыслящим людям переходить на формат OGG Vorbis

Анонимусы в своем репертуаре...

2 LamerOk

Ну и чем же тебе не нравится OGG? Этой ошибке он не подвержен, лучше чем mp3, да к тому же еще и открытый.
А такого рода шутки, как эта, возможно способны добавить ему популярности, да еще и та шутка с лицензированием mp3...

WMA тоже не подвержен. А у меня кроме WMA ничего не водится. Т.к. все остальное суксь и мастдай. A 192mbps WMA рулез.

>WMA тоже не подвержен. откуда ты знаешь? формат открыт? реализация кодека открыта? Плейер открыт?