Come condividere codice sorgente dannoso?


2

Ho un client il cui sito (non uno da me sviluppato) è infetto da un codice trojan / dannoso. Gli ho chiesto di inviarmi i file sporchi in una zip ma Gmail o decompressione li sta bloccando.

Ho provato file di testo e file di parole, e sospetto che molti tipi di file diversi verranno bloccati allo stesso modo, sia dal mio client di posta elettronica, software anti-malware, browser ecc. (Che è normale).

Conosci un modo in cui potrebbe condividere quelle righe in modo che io possa leggerle e fare qualche ricerca sul codice sorgente dannoso?

Un'immagine / screenshot del suo editor di testo sarebbe un'idea, ma i file sono lunghi e preferirei essere in grado di copiarli / incollarli.


Se si tratta di testo, potrebbero caricarlo su Pastebin o su uno dei suoi numerosi cloni. Consiglierei di fare una pasta "non elencata" o "privata", non pubblica. Il loro AUP non sembra menzionare il codice dannoso, ma probabilmente non è il tuo desiderio di diffonderlo.
Bob

perché non comprimere qualsiasi cosa ... salvarlo sul sito Web da qualche parte e inviarti via e-mail il LINK in modo da poterlo scaricare quando lo si desidera. Voglio dire ... bontà! hai già un sito web per scaricare roba da ...
lornix

12
È possibile impostare una password per il file zip in modo che gli scanner antivirus non abbiano accesso al file zip.
Colemik,

Questo è esattamente il motivo per cui le aziende antivirus chiedono alle persone di inviare malware in file .zip crittografati.
Michael Hampton,

Risposte:


9

Probabilmente è Gmail - dopo tutto è progettato per farlo e cerca virus. Ho il sospetto che potrebbe funzionare un metodo di compressione meno comune (.xz potrebbe funzionare per un singolo file - i file zip sono controllati dai miei test molto poco scientifici di Gmail), o semplicemente masterizzarli su un DVD o altri media e smailmail potrebbe funzionare meglio .

Considerando che stai rispondendo agli incidenti, sarebbe troppo chiedere l'accesso direttamente al sito per scaricare i file? Sarebbe il più semplice e potrai quindi osservare il compromesso nel suo ambiente nativo.


Gmail scansionerebbe il codice sorgente alla ricerca di codice dannoso‽ Penso che sia più probabile che stia solo bloccando i file ZIP in generale ...
Bob

abbastanza facile da testare. Devo solo inviarmi un file eicar. Una volta che ho capito come disabilitare il mio AV; p
Journeyman Geek

Sì, gli ho chiesto il suo accesso FTP, potrebbe essere il modo migliore. Sono comunque curioso e interessato alle tue risposte qui; non è la prima volta che mi trovo di fronte a quella situazione (+ i clienti non sono sempre molto tecnici quindi non posso chiedere loro manipolazioni troppo "complicate").
darma,

il codice non compilato è innocuo. Hai davvero un problema con le cose bloccate? Un'applicazione compilata non ti va bene, questa è l'unica cosa che Google può probabilmente rilevare e l'unica cosa a cui tengono.
Ramhound,

La cosa più grande, per quanto mi riguarda, è vedere le prove nel contesto di una situazione più ampia. Non sto dicendo che è google, ma provare a utilizzare un metodo di compressione meno comune è un buon modo per testare.
Journeyman Geek

4

Basta usare un file zip crittografato, lasciando che zip stesso esegua la crittografia o usando gpg per crittografarlo. Quindi invia il file crittografato e scambia la passphrase in modo da poterlo decomprimere dall'altra parte. In questo modo viene impedito a uno scanner antivirus di leggere il contenuto e quindi non dovrebbe bloccarlo.


2

Un modo che puoi sempre usare è creare un archivio (zip, tar, qualunque cosa). Uuencode che archivia e rimuove il 600 nome file iniziale dall'inizio e la fine dalla fine del risultato codificato.

Non ho mai incontrato uno scanner antivirus che blocchi ancora i file ASCII puri. Ed è proprio questo il risultato delle operazioni precedenti.

Ripristinarlo è semplice come aprire il file in un editor di testo. Aggiungendo le linee di inizio e fine e usando uudecode o winzip per decodificarlo indietro.


1

Ho sperimentato che i file dannosi zipcept tendono a non essere rilevati dagli scanner antivirus.

Prova a incorporare il file dannoso zippato in un altro file zippato (e forse un altro) e la maggior parte degli scanner non lo rileverà fino a quando non lo estrai al livello finale (appena prima dell'estrazione del file). A quel punto, puoi disattivare il tuo antivirus ed estrarre o estrarre il file all'interno di Linux dove la maggior parte dei trojan / virus non funzionano.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.