E. KASPERSKIJ (AVP) STEALS CODE AGAIN

stealed from: NIST Secure Hash Algorithm, SHA
i found it in PGP 5.0i sources, PGPsha.c/.h
original sources: shaorig.zip ~6k
stealed subprograms:SHAInit, SHABuffer, SHAFinal, SHATransform, etc.
disassembly of avp: shadiza.zip ~3k
stealed code is here: _avp32.exe size=368704 v3.0.128 va=0x40FE8A+
  _avp32.exe size=213056 v3.0.129 va=0x41008A+

Comments

После очередного троянского дополнения обстреманый каспер решил таки к своему отстою добавить кривую подпись. И даже распиздился всем, что де лицензировал (по-русски, навеное, отсосал) ее там, у кого-то. У ланкрипты (LanKripto) наверное. И вот результат. То ли каспер пиздит, что подпись куплена, то ли ланкрипта наебала каспа и продала ему полное гавно.

Как вам наверное известно, каспер, сначала обещавший сменить формат баз, из-за лености своей просто навесил на них контрольную сумму.
Пытаясь в очередной раз сделать вам всем подарок - еще одно троянское дополнение, я выяснил следующее:
1) от файла считается 20-байтовый хэш
2) от хэша считается некоторая функция, которая затем оверлеем записывается в задницу файлу. Типа 13,10,'; 0XLSznpdI71fB300e7Uwj1DPr8uAEV6YKjE8+IKy4VCYDt3lzRTLi27dWP',0ADh,0ADh
Возможно, что эта функция как-то и связана с некоторым алгоритмом с закрытым-открытыми ключами, хотя касперу верить нельзя и наверняка это все очередная наябка с XORом.
В связи с нехваткой времени и желания копаться с собственно подписью, я взялся за хэш, в результате чего были выяснены прелюбопытнейшие детали:
Хэш (NIST Secure Hash Algorithm, SHA) каспером попросту украден.
В одном из оригинальных исходников хэша (pgpsha.h) записано так:
* This is a PRIVATE header file, for use only within the PGP Library.
* You should not be using these functions in an application.
Оригинальные исходники лежат здесь: shaorig.zip,
а дисассемблированные куски кода из авп здесь: shadiza.zip
Сравнивайте, изучайте, рассказываете об этом всем, кого знаете.

Таким образом, чтобы сделать троянское дополнение к авп, достаточно лишь хакнуть хэш, научившись так изменть файл, чтобы получать требуемые 20 байт, вычисляемые по известному алгоритму.

В настоящее время коллективом программистов ведутся исследования как в области взлома хэша, так и в области взлома якобы ланкриптовской подписи, так что результаты не заставят себя ждать.
Трепещите, ламеры, ибо скоро настанет вам пиздец!

Перепечатка этого материала возможна только полностью и с указанием источника:
(c) 06 June 1999, Z0MBiE, http://z0mbie.host.sk