[HaBo]

ic3cu83z · 06.08.07, 11:07

Hallo,

habe die Tage Lernunterlagen im .chm-Format bekommen. Wollte diese Datei einem Bekannten per Gmail verschicken, jedoch kam dort der Hinweis:

"Diese Datei enthält eine.exe-Datei und kann somit nicht über Gmail verschickt werden."

So ungefähr der Wortlaut.

Habe daraufhin die .chm-Datei auf RS hochgeladen und mein Bekannter hat sie sich runtergeladen und auch sein AV meckert kräftig rum (Trojaner).

Ist dies technisch möglich oder handelt es sich hierbei eher um einen Fehlalarm?

06.08.07, 14:05

http://de.wikipedia.org/wiki/CHM_(Dateiformat)

Da kann u.a. Javascript/ php enthalten sein...

Anzeige

- Anzeige -

+++ATH0 · 06.08.07, 18:09

Das könnte daran liegen, dass in den Programmen, die diese Hilfedateiem öffneten mal eine gravierende Sicherheitslücke steckte. Geneaueres weiss ich nicht mehr.
Such mal bei google nach "CHM + Exploit"

ic3cu83z · 07.08.07, 23:30

Danke für Eure schnellen Antworten.

@ IsNull: da hab ich natürlich auch schon geschaut, mich hat lediglich die Feststellung 'da ist eine .exe enthalten' etwas verwundert.

Problem scheint aber gelöst, da es sich aller Wahrscheinlichkeit nach um einen Fehlalarm handelt. Ich kann Euch aber gerne die Datei mal uppen und den Link per PN schicken, vllt. findet Ihr ja was raus?!

@ +++ATH0: Werde ich mal in ner ruhigen Minute nach schauen, danke.

SUID:root · 08.08.07, 08:54

Das kannst du gern mal machen. Du kannst den Link auch hier posten, dann aber bitte nicht als Hotlink sondern entschärft, in Form von "h**p://www.test.me" damit er nicht durch draufklicken aufgerufen wird.

Der gute +++ATH0 liegt vollkommen richtig, da gab es mal einen Exploit, es gab sogar Tools mit denen man dann Malware schön in CHMs packen konnte. Hatte gestern mal auf die Schnelle gesucht, u.A. bei Securityfocus, fand aber nicht das, was ich meinte. Fand sogar mehrere CHM-Exploits, aber nicht den, den ich suchte. Oder ich hab ihn übersehen. Es muss also nicht unbedingt ein Fehlararm sein, jedoch dürfte die Gefahr gering sein, weil der Fehler schon vor langer Zeit durch einen Patch behoben wurd.

Gruß

root

ic3cu83z · 08.08.07, 17:38

Das Angebot nehme ich doch gerne dankend an

Hier ist die besagte Datei: h**p://rapidshare.com/files/47728999/FehlalarmCHM.rar.html

Bin mal gespannt, was bei Euch Profis rauskommt.

Besten Dank erstmal!

bond · 08.08.07, 22:09

Wenn man die chm-datei entpackt sieht man nur ein paar html-seiten und Bilder darin. Es könnte natürlich sein das darin ein exploit ist der schon einen Bug in der entpackroutine verwendet aber der Inhalt ist ok. Chms lassen sich z.B. mit QuickCHM entpacken (Die Demoversion reicht dafür).
Ich würde die entpackten htmls hier posten wenn es nicht gegen die Boardregeln wäre.

Oder ist das freeware?

Anzeige

- Anzeige -

06.08.07, 11:07	#1 (permalink)
ic3cu83z Registriert seit: 08.08.06 Likes: 0	.exe in .chm Anzeige Hallo, habe die Tage Lernunterlagen im .chm-Format bekommen. Wollte diese Datei einem Bekannten per Gmail verschicken, jedoch kam dort der Hinweis: "Diese Datei enthält eine.exe-Datei und kann somit nicht über Gmail verschickt werden." So ungefähr der Wortlaut. Habe daraufhin die .chm-Datei auf RS hochgeladen und mein Bekannter hat sie sich runtergeladen und auch sein AV meckert kräftig rum (Trojaner). Ist dies technisch möglich oder handelt es sich hierbei eher um einen Fehlalarm?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

06.08.07, 14:05	#2 (permalink)
IsNull Guest Likes:	http://de.wikipedia.org/wiki/CHM_(Dateiformat) Da kann u.a. Javascript/ php enthalten sein...

06.08.07, 18:09	#3 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Das könnte daran liegen, dass in den Programmen, die diese Hilfedateiem öffneten mal eine gravierende Sicherheitslücke steckte. Geneaueres weiss ich nicht mehr. Such mal bei google nach "CHM + Exploit"

07.08.07, 23:30	#4 (permalink)
ic3cu83z Themenstarter Registriert seit: 08.08.06 Likes: 0	Danke für Eure schnellen Antworten. @ IsNull: da hab ich natürlich auch schon geschaut, mich hat lediglich die Feststellung 'da ist eine .exe enthalten' etwas verwundert. Problem scheint aber gelöst, da es sich aller Wahrscheinlichkeit nach um einen Fehlalarm handelt. Ich kann Euch aber gerne die Datei mal uppen und den Link per PN schicken, vllt. findet Ihr ja was raus?! @ +++ATH0: Werde ich mal in ner ruhigen Minute nach schauen, danke.

08.08.07, 08:54	#5 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Das kannst du gern mal machen. Du kannst den Link auch hier posten, dann aber bitte nicht als Hotlink sondern entschärft, in Form von "h**p://www.test.me" damit er nicht durch draufklicken aufgerufen wird. Der gute +++ATH0 liegt vollkommen richtig, da gab es mal einen Exploit, es gab sogar Tools mit denen man dann Malware schön in CHMs packen konnte. Hatte gestern mal auf die Schnelle gesucht, u.A. bei Securityfocus, fand aber nicht das, was ich meinte. Fand sogar mehrere CHM-Exploits, aber nicht den, den ich suchte. Oder ich hab ihn übersehen. Es muss also nicht unbedingt ein Fehlararm sein, jedoch dürfte die Gefahr gering sein, weil der Fehler schon vor langer Zeit durch einen Patch behoben wurd. Gruß root

08.08.07, 17:38	#6 (permalink)
ic3cu83z Themenstarter Registriert seit: 08.08.06 Likes: 0	Das Angebot nehme ich doch gerne dankend an Hier ist die besagte Datei: h**p://rapidshare.com/files/47728999/FehlalarmCHM.rar.html Bin mal gespannt, was bei Euch Profis rauskommt. Besten Dank erstmal!

08.08.07, 22:09	#7 (permalink)
bond Registriert seit: 16.12.05 Likes: 0	Wenn man die chm-datei entpackt sieht man nur ein paar html-seiten und Bilder darin. Es könnte natürlich sein das darin ein exploit ist der schon einen Bug in der entpackroutine verwendet aber der Inhalt ist ok. Chms lassen sich z.B. mit QuickCHM entpacken (Die Demoversion reicht dafür). Ich würde die entpackten htmls hier posten wenn es nicht gegen die Boardregeln wäre. Oder ist das freeware?

[HaBo]

.exe in .chm