Reversing

Atak na użytkowników FOTKA.PL

przez

Właśnie dostałem powiadomienie na maila, że ktoś posłał mi prywatną wiadomość poprzez popularny serwis fotka.pl:

Fotka Phishing

Oczywiście link z maila nie pokrywał się z linkiem, który został otworzony w przeglądarce:

http://www2.fotka.pl.tag239913.be4koy.com.es/service/profil/?dLmR8vy2LZ0sPb6vMMSu4gGjoYDGTO

Ze źródeł strony wynika, że na stronie znajduje się w linkach fałszywy instalator Flash (skompresowanych UPX-em), dla zainteresowanych jego analizą wgrałem go na serwer (rozszerzenie .bin, żeby przypadkiem go nie uruchomić:

Zainfekowany instalator Flash

A tutaj zamieszczam wyniki skanowania pliku przez VirusTotal:

https://www.virustotal.com/resultado.html?b6210fe53ee7d00bc2cca0f57e17c2d0#

Dowiedziałem się przed chwilą, że taki sam plik był rozprowadzany wśród użytkowników YouTube, o czym napisano na blogu F-Secure.

PS.
Dzisiaj dostałem kolejny e-mail, tym razem adres prowadził pod:

http://www5.fotka.pl.portal430843.caafreeeman.com/service/profil/?login=16ksthadrDfhmAGOjy

Bug w Excelu 2007 pod IDA

przez

Dokładna analiza wcześniej wspomnianego buga w Excelu

This article (500kb PDF) details the Excel 2007 formatting bug. On initial release, entering =850*77.1 in a cell results in 10000, instead of the correct 65535. This article shows this bug is the result of porting 16-bit code to 32-bit code, and shows why exactly 12 values of the possible 9*10^18 64-bit floating-point values are affected.

http://www.lomont.org/Math/Papers/2007/Excel2007/Excel2007Bug.pdf

Nieudokumentowane funkcje Windows XP

przez

Pierwszy artykuł dotyczy funkcji pozwalających na tworzenie archiwów ZIP korzystając bezpośrednio z funkcji eksportowanych z biblioteki NTDLL.dll

http://www.literatecode.com/2006/11/11/how-to-write-your-own-winzip/

Drugi artykuł prezentuje wykorzystanie nieudokumentowanych funkcji kryptograficznych SHA1 z biblioteki ADVAPI32.dll

http://www.literatecode.com/2006/12/18/undocumented-windows-cryptography/

Nadesłał: antonone