also für 5.1 gibts nurn code, der icq n bisschen hängen lässt, mehr nicht, also sinnlos.

achja der sinn dieses bugs sollte eigentlich sein, dass man die user von icq6 abbringen sollte,
und nicht jeden x-beliebigen einfach crashed.

deswegen wurde auch die seite www.icq6bug.x2.to gemacht, wo genau erklärt wird, wie man den bug entfernt!


btw: ich hab gehört, dass man es schon geschafft hat speicher höherer priorität auszulesen, bzw
womit man mehr "anstellen" kann...bin ma gespannt auf die ergebnise..

Jop Shellcodes sind ausführbar.

etwas genauer, bitte...
wie ?

ich weiß, dass der 6. wert auf den stack ein pointer ist, der auf einen pointer einer inneren speicherstruktur wist.
duch diesen kann evtl. mal shellcode ausgeführt werden.

das schwierige ist, die speicherstelle des format strings festzustellen, denn wenn man diese hat, wäre man schon viel weiter..

gast hat Folgendes geschrieben:

also für 5.1 gibts nurn code, der icq n bisschen hängen lässt, mehr nicht, also sinnlos.

Welchen Code meinst du? Weil bei der Möglichkeit die ich kenne lässt es sich schon etwas ausdehnen (z.B. auf eine halbe Stunde).

die meine die möglichkeit, dass diese vielen smilies lokal geladen werden,
welche meinst du ?

Wie schon gesagt eine Nachricht in einem bestimmten Format, was aber meines Wissens nicht mit einem normalen Client verschickt werden kann. Darum ist es wahrscheinlich auch so wenig verbreitet und wie du bereits erwähnt hast eher sinnlos

also den code den ich meine, sollte man von einem clienten senden, der nicht icq heißt,
da man sich dan selber aufhängt, aber der bug is schon sehr verbreitet.

das einzige, was ich damals kannte, was aber gleich gestopft wurde, war der bug über die flashanimationen,
wo man dann shell includieren konnte (sogar recht leicht!)

es gibt auch son patch wo angeblich icq6 nicht mehr abstürzt , konnt es selber nicht testen weil bitdefender immerzu RISIKO Meldung machte -.- habs versucht in ausnahmern zu verchieben aber nach dem öffnen kam wieder die meldung 1 risiko backdoor.bitfrost.IE und danach fehler zu geringer arbeitsspeicher um die datei zu öffnen -.-

wenn einer will kann er es ja ma probieren

edit aVe: Link rausgenommen.

<<TP>> hat Folgendes geschrieben:

es gibt auch son patch wo angeblich icq6 nicht mehr abstürzt , konnt es selber nicht testen weil bitdefender immerzu RISIKO Meldung machte -.- habs versucht in ausnahmern zu verchieben aber nach dem öffnen kam wieder die meldung 1 risiko backdoor.bitfrost.IE und danach fehler zu geringer arbeitsspeicher um die datei zu öffnen -.- wenn einer will kann er es ja ma probieren

Der Fehler kann auch verhindert werden wenn der IE aktualisiert wird. Weil der Bug läuft nicht bei allen Personen.
Nur leider weiß ich nicht genau woran es liegt.

das is wohl eindeutig ein trojaner , also mach den scheiß link raus -.-

File: install_icq6_build24.exe
Status:
INFECTED/MALWARE
MD5: 7a70dc90e3d5b4838329bcb76fb8ea37
Packers detected:
EXPRESSOR
Bit9 reports: File not found
Scanner results
Scan taken on 27 Feb 2008 11:36:14 (GMT)
A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Backdoor.Bifrost.IE
ClamAV
Found nothing
CPsecure
Found BackDoor.W32.Delf.avc
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found Backdoor.Win32.Bifrose.aci
Fortinet
Found nothing
Ikarus
Found nothing
Kaspersky Anti-Virus
Found Backdoor.Win32.Bifrose.aci
NOD32
Found Win32/Bifrose.ADR
Norman Virus Control
Found Sandbox: Bifrose.PST.dropper; [ General information ]

* Creating several executable files on hard-drive.
* File length: 279552 bytes.

[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\XPSFX~1.EXE.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\XPSFX~1.EXE.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP\.
* Creates directory C:.
* Creates directory C:\WINDOWS.
* Creates directory C:\WINDOWS\TEMP.
* Creates directory C:\WINDOWS\TEMP\RarSFX0.
* Creates file C:\WINDOWS\TEMP\RarSFX0\__tmp_rar_sfx_access_check_511.
* Deletes file __tmp_rar_sfx_access_check_511.
* Creates file C:\WINDOWS\TEMP\RarSFX0\xp.exe.

[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Deletes value "wextract_cleanup0" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".

[ Process/window information ]
* Attemps to NULL C:\WINDOWS\xp.exe NULL.

[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\XPSFX~1.EXE (238179 bytes) : Bifrose.PST.
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found Mal/EncPk-AA
VirusBuster
Found nothing
VBA32
Found Backdoor.Win32.Bifrose.afj

gast hat Folgendes geschrieben:

das is wohl eindeutig ein trojaner , also mach den scheiß link raus -.-

ich hatte doch oben schon erwähnt das Bitdefender ANtivirus 2008 1 Risiko gefunden hatte --> backdoor.bitfrost.IE -.- und es klingt für mich nicht nach einem Trojaner, kann doch jedem selbst überlassen sein ob er es lädt oder nicht??

Es ist auf jeden Fall nicht das was es sein soll. Ich habe es mir mal angesehen und es lässt sich z.B. mit WinRAR öffnen, da es sich um ein selbstentpackendes Archiv mit der Datei xp.exe als Inhalt und folgenden Skriptbefehlen handelt:

Code:

Path=C:\WINDOWS Setup=C:\WINDOWS\xp.exe Silent=1 Overwrite=1

Verdächtiger geht es ja fast nicht

Darum war es schon richtig, dass der Link entfernt wurde.

<<TP>> hat Folgendes geschrieben:

gast hat Folgendes geschrieben: das is wohl eindeutig ein trojaner , also mach den scheiß link raus -.- ich hatte doch oben schon erwähnt das Bitdefender ANtivirus 2008 1 Risiko gefunden hatte --> backdoor.bitfrost.IE -.- und es klingt für mich nicht nach einem Trojaner, kann doch jedem selbst überlassen sein ob er es lädt oder nicht??

Stimmt schon das du es geschrieben hast, aber denk mal die die Daus die kA haben.
Die laden sich das einfach runter

ok, da bitdefender es nur als risiko und nicht als Schädling betrachtete dacht ich es wär nicht so schlimm