Abuse Melding

Je hebt een klacht over de onderstaande posting:

03-01-2006, 09:03 door Bitwiper

Aanvulling op mijn bovenstaande bijdrage: sinds gisteravond staan op http://isc.sans.org/diary.php?storyid=1006 verwijzingen naar twee verschillende test-wmf bestanden die ik even gauw bekeken heb. Beide beginnen met de bytes 01 00 09 00, maar in de eerste wordt de uitvoerbare code nu vooraf gegaan door 26 00 09 00, en in de tweede door 26 04 09 00. Die tweede byte (die, in words, het aantal functie parameters zou moeten aangeven dat volgt) wordt kennelijk door Windows genegeerd. In vergelijking met Ilfak's testcode vind ik deze beide tests veel enger; er is geen sourcecode beschikbaar, en de executable code in beide exploits is "obfuscated" (encoded/versleuteld). Deze encoding en de kennelijk mogelijke variatie in de bovenstaande byte maakt detectie door virusscanners erg lastig. Met dank aan Ilfak Guilfanov voor zijn patch en testprogramma, maar waar blijft Microsoft? Erik van Straten

Beschrijf je klacht (Optioneel):

captcha