Autor: PeJot (skasuj-tokpejot_at_skrzynka.pl)
Data: Tue 05 Feb 2002 - 19:52:01 MET
Użytkownik Marek Szopinski <mssoft_at_mssoft.com.pl> w wiadomości do grup dyskusyjnych napisał:a3k0pj$fqv$1_at_news.tpi.pl...
> > Akurat z tym się nie zgodzę (jestem świeżo po leczeniu małej sieci).
>
> Na jakiej podstawie ? Badałeś kod wirusa ?
Na podstawie doświadczeń empirycznych z wirusem Klez wersja E
(zapomniałem wspomnieć, wydawało mi się że to po ostatnich dniach oczywiste).
Z tymi wersjami to rzeczywiście są jaja bo podobno ten najnowszy
może mieć kilka wersji w sobie (chyba na stronie Mks'a to przeczytałem)
> > Jeżeli udostępnisz dysk tylko do odczytu to wirus tam się nie dostanie
> (sprawdzałem
> > -kontrolowana infekcja - wpadł tylko do katalogu roboczy który
> udostępniłem z pełnymi prawami)
>
> No i co w ten sposób udowodniłeś ? Chyba tylko to, że wirus atakuje
> udostępnione dyski z pełnymi prawami. Nigdy nie pisałem, że tak nie jest.
Napisałeś że atakuje dowolny komputer widoczny w sieci lokalnej, nie ważne czy coś udostępnił
a z moich eksperymentów wynika że jednak taki dobry (Klez.E) chyba jednak nie jest
-zainstalowane protokoły Netbeui, tcp/ip, ipx/spx+netbios (ktoś zainstalował protokoły jak leciało ;)
, system win98se .
> Ponadto nie napisałeś o jaką wersję wirusa chodzi bo jest ich 5, Klez.e jest
> ostatnią z nich póki co i osobiście z nim walczyłem.
Ostatnio jest epidemia Klez.E tak więc pisaliśmy prawdopodobnie o róznych wersjach.
> Jako były programista jestem w stanie zgodzić się z teorią, że jest możliwe
> zainfekowanie komputera udostępniającego jakikolwiek katalog w jakimkolwiek
> trybie. Chodziło o to, żeby komputer był widoczny z minimum jednym
> katalogiem. Wykorzystywało się jedną z funkcji NETBIOS'a, w której jeden z
> parametrów mógł mieć do 64k. Po podaniu większej ilości danych pierwsze 64k
> było ignorowane, a reszta danych była zapisywana na dysku lokalnym
> komputera.
Chodzi Ci o włam przez przepełnienie bufora czy może bład pozwala dostać się jeszcze łatwiej ?
> Można było też wpłynąć, gdzie fizycznie miał nastąpić zapis i
> infekcja gotowa.
> Ponieważ od długiego czasu nie zajmuję się programowaniem, to nie wiem, czy
> bug został usunięty i mało mnie to obecnie obchodzi. Jednak metoda istniała
> i byle wirus mógł ją wykorzystać. Dlaczego więc jesteś taki pewny
> szczelności Windows ?
Nie napisałeś której wersji Windows to dotyczy, 95 ?
Ja miałem 11 kompów z Win98se + żródło infekcji komp z modem na Win95osr2
PeJot
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 00:13:23 MET DST