[PUG] Re:gif-exploit...

[Michael Bischof]

Am Freitag, 23. Juni 2006 08:50 schrieb Henrik Schneider:

> das ganze sieht eher aus wie ein mit rewriterule umgestriktes php oder
> perl script das das telepolis logo für die druck bzw pda ansicht
> ausgibt. ich denke nicht, das es ein exploit ist, eher das der browser,
> das fälschlicherweise als html interpretieren will und dann mit dem gif
> was der server zurückliefert auf die nase fällt.
 
Danke, Hendrik. Mir hatte ein Schüler Folgendes geschrieben:

"Zero Width GIF-Exploit
 
Hi,
in dem besagten Archiv "o060605.guppies.sozialleben.attraktiv.tp.zip" 
sind 2 *.html Dateien enthalten, die eigentlich GIF-Grafiken sind 
(erkennbar am Fileheader "GIF89a"). Und zwar sind dies 22753.html und 
222753.html.

In diesen Dateien scheint ein Virusähnlicher Codeteil eingebaut zu sein, 
welcher durch oben gennanten Exploit ausgeführt wird.

Hier nähere Infos:

http://www.google.de/search?hl=de&q=zero+width+GIF+exploit

Grüße,..."

Das heißt doch wohl, soweit ich es verstehe: falls ein Windows-PC eine Datei 
mit diesem Exploit enthält und diese o.g. Telepolis-Datei angeklickt wird 
kann dieser Exploit ausgeführt werden? 
Wenn ich diese Datei öffne sehe ich nur Folgendes: 

        ------------------------------------------------------------- 
GIF89a    ÷ÿ ÿÿÿ   ÿÿÌÿÿ™ÿÿfÿÿ3ÿÿ ÿÌÿÿÌÌÿ̙ÿÌfÿÌ3ÿÌ ÿ™ÿÿ™Ìÿ™™ÿ™fÿ™3ÿ™ 
ÿfÿÿfÌÿf™ÿffÿf3ÿf ÿ3ÿÿ3Ìÿ3™ÿ3fÿ33ÿ3 ÿ ÿÿ Ìÿ ™ÿ fÿ 3ÿ  ÌÿÿÌÿÌÌÿ™ÌÿfÌÿ3Ìÿ 
ÌÌÿÌÌÌÌ̙ÌÌfÌÌ3ÌÌ Ì™ÿ̙Ì̙™Ì™f̙3̙ ÌfÿÌfÌÌf™ÌffÌf3Ìf Ì3ÿÌ3ÌÌ3™Ì3fÌ33Ì3 Ì ÿÌ 
ÌÌ ™Ì fÌ 
3Ì  ™ÿÿ™ÿ̙ÿ™™ÿf™ÿ3™ÿ ™Ìÿ™Ì̙̙™Ìf™Ì3™Ì ™™ÿ™™Ì™™™™™f™™3™™ ™fÿ™f̙f™™ff™f3™f 
™3ÿ™3̙3™™3f™33™3 ™ 
ÿ™ ̙ ™™ f™ 3™  fÿÿfÿÌfÿ™fÿffÿ3fÿ fÌÿfÌÌf̙fÌffÌ3fÌ f™ÿf™Ìf™™f™ff™3f™ 
ffÿffÌff™fffff3ff f3ÿf3Ìf3™f3ff33f3 f ÿf Ìf ™f ff 3f  3ÿÿ3ÿÌ3ÿ™3ÿf3ÿ33ÿ 
3Ìÿ3ÌÌ3̙3Ìf3Ì33Ì 3™ÿ3™Ì3™™3™f3™33™ 3fÿ3fÌ3f™3ff3f33f 33ÿ33Ì33™33f33333 3 ÿ3 
Ì3 ™3 f3 33   ÿÿ ÿÌ ÿ™ ÿf ÿ3 ÿ  Ìÿ ÌÌ Ì™ Ìf Ì3 Ì  ™ÿ ™Ì ™™ ™f ™3 ™  fÿ fÌ f™ 
ff f3 f  3ÿ 3Ì 3™ 3f 33 3   ÿ  Ì  ™  f  
3ÿÿÿ                                                                            
                                         !ÿ 
ADOBE:IR1.0 Þí !ù    Ø ,            ±   ; 
        -------------------------------------------------------------- 
   
Frage an Euch: wie soll man erkennen ob da drin ein "Virusähnlicher Codeteil" 
eingebaut ist? 

Mein Motiv: ich hatte diese Telepolis-Ausarbeitung an eine Schülerin 
weitergegeben. Daraufhin sei der Internet-Anschluss ihres Windows-Rechners 
nicht mehr gegangen, woraufhin ihr Stiefvater böse wurde. Ich selber will 
nicht den Ruf einer Virenschleuder bekommen... ;-)

Danke und Gruß,
 
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org