Hey Leute, ich hab heute morgen mal kurz nen Video gedreht wo ich die neue Lücke im Flashplayer zeige.
Video gibts hier
Printable View
Hey Leute, ich hab heute morgen mal kurz nen Video gedreht wo ich die neue Lücke im Flashplayer zeige.
Video gibts hier
cooles Vid ... thx for sharing :)
m1k3
Hi hardez,
danke für das Video, hat gut geklappt bis auf die Virusmeldung von Avira. Gibt es eine Möglichkeit trotz Avira diese Methode auszuführen?
lg
yeah hardez, geiles vid und die mucke is ja mal der totale burner, chiptunes + rock = sauphat! =)
Denke nicht das man es ohne Virenmeldung hinbekommt, da man hier nichts verpacken kann.Quote:
Originally Posted by YesSir
Antivir wird den Code in der PDF bzw in Flash sehen und merken das da was nich stimmt.
Falls der Shellcode in der PDF in JS geschrieben sein sollte, dann könntest du den durch nen Packer jagen und die PDF neu erzeugen... Kann aber nich beschwören das es so geht!
EDIT:
Bin mir nich mehr sicher, aber ich glaube dieser Exploit zielte auf nen Pointerfehler in den Adobeprodukten ab, also ohne JS inside... wie gesagt is aber nur jetzt vage ins blaue bin mir nich mehr sicher!
EDIT2:
ok hab grade nachgeschaut, wenn ich es richtig verstehe, ist es eine SWF Datei, die per ActionScript einen Fehler in der authplay.dll ausnutzt.
Du könntest also versuchen, die SWF zu decompilieren, das ActionScript zu packen (falls das geht) und dann wieder zu compilieren.
Aber alles ohne Gewähr. Wäre nett wenn man jemand mit Ahnung da was zu sagen könnte ;)
Stimmt nicht ganz.Quote:
Denke nicht das man es ohne Virenmeldung hinbekommt, da man hier nichts verpacken kann.
Auf der ph-neutral hat Julia Wolf a.k.a. FoxGirl von FireEye eben genau das gezeigt/erklärt.Quote:
Wäre nett wenn man jemand mit Ahnung da was zu sagen könnte ;)
Bzw. sämtliche "interessanten" funktionalitäten für PDF-Exploiter aus analysierter Malware aufgezeigt.
Es wurde zwar nicht alles public gemacht aber du kannst dir ja mal das was public wurde durchlesen wenns dich interessiert -> http://blog.fireeye.com/research/201...hing.html#more
Mit Hilfe von Javascript/Actionscript kann man sicherlich auch den ein oder anderen AV verwirren.