Malware ontdekt die misbruik maakt van 19 jaar oud beveiligingslek in WinRAR

Onderzoekers hebben via e-mail verstuurde malware ontdekt die is verpakt in een kwaadaardig ace-archief. Het gaat mogelijk om het eerste misbruik van een 19 jaar oude ace-kwetsbaarheid die gevolgen heeft voor onder andere het programma WinRAR.

De ontdekking werd gedaan door de onderzoeksafdeling van beveiligingsbedrijf 360 Enterprise Security Group, dat het nieuws via een tweet wereldkundig maakte. Het bedrijf trof een e-mail aan die een ace-bestand distribueert dat, als de gebruiker het uitpakt, de computer infecteert met een backdoor. Medewerkers van de techsite BleepingComputer bekeken het verdachte ace-archief in een hex-editor en stelden vast dat de malware een bestand in de opstartfolder van de computer wil extraheren.

Onderzoekers van Check Point meldden op 20 februari dat zij een beveiligingslek hadden ontdekt dat 19 jaar onopgemerkt was gebleven. De kwetsbaarheid schuilt in unacev2.dll, een bibliotheek voor het oude ace-compressieformaat die onder andere door WinRAR gebruikt wordt. De kwetsbaarheid laat bij dat programma toe dat een aangepast ace-archief bij het uitpakken een bestand in de opstartfolder plaatst. Wanneer de gebruiker de computer daarna opnieuw start, wordt dat bestand automatisch ingeladen, waarna kwaadwillenden de complete controle van de machine kunnen overnemen.

De ontwikkelaar van WinRAR is vanwege het lek intussen gestopt met de ondersteuning van het ace-formaat. De ace-bibliotheek werd door derden ontwikkeld en er was geen toegang tot de broncode meer. De jongste versie van het programma, WinRAR 5.70, zou daarom opnieuw veilig in het gebruik moeten zijn. Volgens Check Point is het probleem daarmee echter nog niet van de baan; er zouden wereldwijd meer dan vijfhonderd miljoen gebruikers zijn van WinRAR en daarvan werkt het leeuwendeel nog altijd met een versie die wel vatbaar is voor malware.

Lees meer

Reacties (106)

Bor Coördinator Frontpage Admins / FP Powermod

Malware

26 februari 2019 14:31

Jammer dat de kwetsbaarheid vooralsnog alleen in de nieuwste Beta lijkt te zijn verholpen waardoor deze bij veel mensen niet zal worden gepatched totdat een nieuwe final ook voorzien is van een fix. Een gemiste kans waardoor mensen onnodig risico lopen als je het mij vraagt.

sambalbaj @Bor • 26 februari 2019 14:34

downloads: WinRAR 5.70

Daarom dus vandaag een final.

Verwijderd @sambalbaj • 26 februari 2019 15:29

Simpel fix.. ACE format is eruit geknalt. In principe een hotfix dus.

"WinRAR used this third party library to unpack ACE archives. UNACEV2.DLL had not been updated since 2005 and we do not have access to its source code. So we decided to drop ACE archive format support to protect security of WinRAR users.
We are thankful to Check Point Software Technologies for reporting this issue."

Beter dan geen patch.. dus een goeie zet.

MrFax @Verwijderd • 26 februari 2019 16:32

Er is ook geen source code voor de library dus ze moeten wel, want ze kunnen het zelf niet patchen.

[Reactie gewijzigd door MrFax op 23 juli 2024 01:30]

robvanwijk

Malware

@MrFax • 26 februari 2019 23:43

Er is ook geen source code voor de library dus ze moeten wel, want ze kunnen het zelf niet patchen.

Sinds wanneer heb je de source code nodig om een bug te kunnen patchen? Oh natuurlijk, het maakt het een heel stuk makkelijker, maar het is geen vereiste. Er is niets magisch aan object code; ook die kun je lezen, begrijpen... en dus wijzigen. Het aantal mensen dat met de hand assembly schrijft neemt steeds verder af (met goede redenen), maar het is wel degelijk mogelijk.

Ter demonstratie: Did Microsoft Just Manually Patch Their Equation Editor Executable? Why Yes, Yes They Did.. Dat artikel bevat niet alleen een mooi praktijkvoorbeeld, maar ook een heleboel achtergrondinformatie. Als je je nog nooit verdiept hebt in low level programmeren, maar het wel een interessant idee vindt, dan is dit een mooie kans om eens een kijkje te nemen!

(Of, als een link naar Bleeping Computer meer on-topic is voor dit bericht, zij hebben een korte versie van hetzelfde verhaal: Microsoft Appears to Have Lost the Source Code of an Office Component.)

batjes @robvanwijk • 27 februari 2019 10:45

Het ding is alleen, bij MS werken een vrij groot deel van het kleine topje van de ijsberg van de programmeurs. Dit groepje mensen is wereldwijd niet zo heel groot en ze werken dan vaak voor de reuzen die ze kunnen betalen. Deze kennis zal je niet al te snel terug vinden bij een kleine partij zoals Rarlabs. Dus nee, dit kunnen ze niet zelf patchen.

Mijzelf @MrFax • 26 februari 2019 16:59

Jawel, als ze het echt zouden willen kan het. Door een custom CreateFile te injecteren kun je in de gaten houden waar files worden neergezet. Maar het lijkt me de moeite niet waard, want ik denk niet dat er veel ace bestanden zijn. Ik had er iig nog nooit van gehoord.

MrFax @Mijzelf • 26 februari 2019 17:24

Dat noem je geen fix maar een workaround, omdat de lekke code er nog steeds inzit.

Marty007 @MrFax • 26 februari 2019 20:31

Die zit er dus niet in.
Die is er nu in zijn geheel uitgegooid, dat is de fix.

MrFax @Marty007 • 26 februari 2019 20:58

Ik had het alleen maar over wat hij een fix noemde

. Maar ja, de nucleaire methode is soms de beste oplossing.

Marty007 @MrFax • 26 februari 2019 21:04

Ach ja ik zie het nu ook.
My apologies.

mae-t.net

Malware

@MrFax • 26 februari 2019 17:46

Een patch kan ook binary zijn, maar de beslissing om de bibliotheek er gewoon uit te gooien is alsnog zeer begrijpelijk.

Skywalker27 @sambalbaj • 26 februari 2019 15:44

Alleen jammer dat het oud nieuws is dit was vorige week al bekend.

joppybt @Skywalker27 • 26 februari 2019 19:59

Het bestaan van het lek is oud nieuws inderdaad.
Maar dit bericht gaat over malware die het lek ook daadwerkelijk misbruikt. En dat is wel nieuws.

Skywalker27 @joppybt • 27 februari 2019 07:49

Ja ze knippen het op in stukken in de media in de security bulletins werd al gewaarschuwd dat er een wild groei was en dat op het DW heel veel werd aangeboden.

HMC @sambalbaj • 26 februari 2019 14:36

Ja. Zag het op GamersNexus. Ook meteen oude eraf gegooid en nieuwe binnengehengeld.
Het zit in de ACE-dll. Die hebben ze er nu gewoon uitgedonderd, want dat is "third party" en kunnen ze verder niets mee doen.

Prima. Gebruikt toch niemand meer.

Bor Coördinator Frontpage Admins / FP Powermod

Malware

@sambalbaj • 26 februari 2019 18:33

Dat is bijna een week na de melding. Op 20 februari werd het lek al gemeld. Bron: https://research.checkpoi...de-execution-from-winrar/

Verwijderd @Bor • 26 februari 2019 14:34

Het is gisteren ontdekt... is niet gek dat het nog niet gepatched is.
Er zal wel een hotfix komen denk ik zo even want dit is wel een bug wat dringend aandacht vereist van de ontwikkelaar(s). ACE compatibiliteit is er uitgefaseerd met final release (v5.70) van vandaag!

Edit: Zoals een Tweaker (@sambalbaj) al aangaf, RARLabs heeft vandaag een Final release (v5.70) uitgebracht.

Edit Edit:

Hotfix: ACE compatibiliteit per definitief uit Winrar gehaald. Misschien een lui manier van het probleem oplossen maar goed. Problem solved...

"

Nadav Grossman from Check Point Software Technologies informed us about a security vulnerability in UNACEV2.DLL library. Aforementioned vulnerability makes possible to create files in arbitrary folders inside or outside of destination folder when unpacking ACE archives.

WinRAR used this third party library to unpack ACE archives. UNACEV2.DLL had not been updated since 2005 and we do not have access to its source code. So we decided to drop ACE archive format support to protect security of WinRAR users.
"
We are thankful to Check Point Software Technologies for reporting this issue.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:30]

LOTG @Verwijderd • 26 februari 2019 16:00

Hoezo is het een lui manier van het probleem oplossen?
Ze hebben die unace niet gemaakt, en er is al sinds vandaag malware in de rondgang die het exploit. Moeten ze dan binnen een paar dagen een eigen compleet nieuwe implementatie van unace maken?

Of had je liever gezien dat ze het maanden lieten zitten terwijl ze een vervanger maken?

Dit was gewoon de enige oplossing op korte termijn.

En dan is vervolgens de vraag hoeveel users er zitten te wachten op een nieuwe ACE implementatie?

Verwijderd @LOTG • 26 februari 2019 16:14

Nee klopt.. het is niet hun source code. Dus eigenlijk valt er niets te repareren.
Zou wel een toegevoegde waarde zijn als ze compatibiliteit toevoegen door zelf iets te coderen.
Ze vragen er uiteindelijk wel geld voor. (Oke, 99% van de gebruikers gebruikt gratis versie)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:30]

Jeroen73 @Verwijderd • 26 februari 2019 16:58

Ik zip, arj en rar al sinds 10 jaar voor Winrar uitkwam, maar van ace had ik nog nooit gehoord. Met een steekproef van 1 gok ik dat ze niet heel veel gebruikers zullen teleurstellen met deze oplossing.

Kaasje123 @Jeroen73 • 26 februari 2019 17:16

Vroeger nog wel eens illegale gedownloade games binnengeharkt in dit formaat, maar dan praat ik over 20 jaar geleden.

Verwijderd @Kaasje123 • 26 februari 2019 18:57

Same here, begin deze eeuw was het een formaat dat je nog wel eens tegenkwam. Daarna heb ik het ook meer gezien.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:30]

MrFax @Jeroen73 • 26 februari 2019 18:33

Het was rond 2000-2001 groot omdat de compressie-ratios toen hoger waren dan RAR

Fly666 @Jeroen73 • 26 februari 2019 19:56

Als ik me goed herinner werden arj en ace veel gebruikt op de CD-ROM die je bij magazines zoals pcgameplay kreeg. Zelf heb ik een tijd ace gebruikt omdat deze toen de beste compressie gaf.

MrMonkE @Jeroen73 • 26 februari 2019 21:58

Ace is uit het floppy tijdperk.

ariekanari @Verwijderd • 26 februari 2019 14:38

Er werd vijf dagen geleden al her en der over bericht en WinRar een 5.70 beta 1 uitbracht. Nu is er een final versie.

HakanX @Bor • 26 februari 2019 14:40

Al zou die er wel zijn, WinRar is volgens mij zo'n beetje de minst geüpdatete programma op de pc. Die installeer je eenmaal en kijk je nooit meer naar om, zelf zeurt die ook niet om updates en daarmee is het gedaan.

Gelukkig dat je het bestand wel moet openen, anders was de impact niet te voorzien.

keejoz @Bor • 26 februari 2019 16:43

Je kan oude versies veilig maken door de unacev2.dll te verwijderen. Je krijgt dan wel een crash wanneer je .ace files probeert te openen maar wie gebruikt die ook?

BikkelZ @keejoz • 26 februari 2019 16:54

Je had sowieso gewoon op PKUNZJR moeten blijven zitten. Al die nieuwerwetse fratsen ook.

Tadango @Bor • 26 februari 2019 16:53

Gewoon geen .ace bestanden openen die je via de email krijgt van mensen die je niet kent? Ik zie meer dan 1 probleem hier

joppybt @Tadango • 26 februari 2019 20:04

Als je het .ace bestand hernoemt naar .rar gaat het net zo goed fout.
Blijft alleen het advies om geen bijlagen van onbekende bron te openen.

m3gA @Bor • 26 februari 2019 14:34

De meeste mensen installeren Winrar en kijken er daarna waarschijnlijk nooit meer naar om.

Duckman51 @YangWenli • 26 februari 2019 16:40

In mijn Windows tijd gebruikte ik gewoon een betaalde versie van WinRar

Al jaren niet meer gebruikt sinds ik Linux gebruik.

Het hier geschetste probleem is een probleem in een externe library waar rarlabs geen invloed op heeft.
Dus de voorgestelde fix om het er helemaal uit te halen is zo slecht nog niet.
Het aantal gebruikers die sprecifiek ace gebruiken zal niet bijzonder hoog zijn verwacht ik.

t_o_c @YangWenli • 26 februari 2019 15:41

Waarom zou je in godsnaam Winrar piraten als je ook 7zip kan gebruiken?

CriticalHit_NL @t_o_c • 26 februari 2019 18:31

Snap het punt voor WinRAR sowieso niet gezien het oneindig blijft werken, vast om de reden om een groot marktaandeel te behouden, daarbij gebruik je regelmatig enkel het contextmenu.

Maar WinRAR en 7zip hebben wel hun eigen kwaliteiten, daarbij kan ik niet met WinRAR m'n volledige RAM geheugen laten opslurpen omdat er een limiet aan zit van ongeveer 6.7GB aan verbruik met RAR5 volumes en 1024MB dictionary. (dit is buiten de eventueel gebruikte cache)
Daarbij is WinRAR met RAR5 volumes nog vlotter met uitpakken omdat dit multi-threaded werkt. (wel afhankelijk ook van je opslag)

Het is ook een beetje afhankelijk wat je inpakt maar als 7zip het wint van WinRAR is het vaak maar met een kleine marge van enkele KB's of MB's afhankelijk van de grootte van de in te pakken bestanden.
Maar ik heb ook momenten gehad dat WinRAR veruit superieur de inpakgrootte verkleint kon krijgen.

stresstak @t_o_c • 26 februari 2019 21:52

Waarom zou je in godsnaam Winrar piraten als je ook 7zip kan gebruiken?

Omdat 7zip toen nog niet bestond ?

Marctraider @t_o_c • 26 februari 2019 20:40

Werdt laatst ook gemint omdat ik een beter alternatief voorschotelde aan de twiekers, maar dat werdt me niet in dank afgenomen.

Don't even try it. ;-)

jctjepkema @YangWenli • 26 februari 2019 15:40

installeer dan peazip. Dat is al gratis, snel, opensource en hoef je niet te piraten(en dus op oude software blijven draaien).

Malarky @jctjepkema • 26 februari 2019 16:56

Peazip gebruikt ook de exploited unacev2.dll van WinAce (v2.69 van 08-11-2007): http://www.peazip.org/peazip-add-ons.html

Echter bij Peazip is het een optionele plugin die je handmatige moet installeren en die nu ook publiekelijk wordt afgeraden op hun pagina.

7zip heeft nooit ACE ondersteund, want closed-source: https://sourceforge.net/p...n/457976/thread/89e1ba8d/

[Reactie gewijzigd door Malarky op 23 juli 2024 01:30]

CriticalHit_NL @Malarky • 26 februari 2019 18:24

Dan ben ik ook benieuwd hoe het zit met programmatuur zoals Total Commander want ik zie wel het ace formaat als optie staan bij het inpakken van bestanden, uitpakken is dan ook een no-brainer dat deze dat ondersteund.
Laat maar, ben weer wat te vlug met conclusies trekken, het inpakken met het ace formaat wordt niet standaard ondersteund, dan heb je het bestand winace.exe nodig.

[Reactie gewijzigd door CriticalHit_NL op 23 juli 2024 01:30]

Toff @CriticalHit_NL • 26 februari 2019 21:37

Toch stond een dll met dezelfde naam in mijn totalcmd folder (09-03-2012).
Heb ik voor de zekerheid ook maar een andere naam gegeven.

[Reactie gewijzigd door Toff op 23 juli 2024 01:30]

CriticalHit_NL @Toff • 26 februari 2019 22:50

Interessant en scherpe opmerking, dat had ik eigenlijk ook wel even moeten controleren.
Als deze erbij staat bij een standaard installatie, en dat is bij mij het geval, dan zal deze zeer waarschijnlijk hetzelfde euvel hebben.

Denk dat hernoemen wel afdoende moet zijn gezien in de executables de naam unacev2.dll specifiek worden genoemd bij het uitlezen in binary formaat en waarschijnlijk aangeroepen, maar dat is gissen voor mij.

We zullen vast meer programma updates gaan zien die de ondersteuning gaan staken de komende tijd...

Toff @CriticalHit_NL • 26 februari 2019 23:01

Mijn laatste .ace file was een no-cd crack uit 2001, voor een netjes gekocht spel, maar geen zin om steeds die CD in de la te moeten stoppen. Het format komt waarschijnlijk nauwelijks nog voor en als de belangrijkste programma's de ondersteuning staken, zal het een zacht einde worden. ARJ kom je ook nooit meer tegen, al was het geniaal om bestanden over meerdere disks te spreiden...

jctjepkema @Malarky • 26 februari 2019 17:50

oeps haha, dat wist ik niet. Maar goed dat het er dan niet standaard in zit denk ik dan!

Byte 26 februari 2019 14:38

Nu staat er dat UAC uit moet staan. Nu weet ik dat er veel consumenten zijn die dit programma gebruiken, maar het eerste dat je moet doen wanneer je een PC configureert (via domein) is het aanzetten van UAC en mensen geen Administrator toegang geven. Blijkt er in ieder geval voor te zorgen dat er een kleinere kans is dat je wordt getroffen door dit lek..

Anonymoussaurus @Byte • 26 februari 2019 14:39

Maar wat nou als je automatisch wilt inloggen met je Microsoft account op Windows 10? Dan ben je by default al local admin (shrugs).

Byte @Anonymoussaurus • 26 februari 2019 14:41

Haha. Als je zoiets toelaat dan ben je als Systeembeheerder al verkeerd bezig..

Anonymoussaurus @Byte • 26 februari 2019 14:50

In een enterprise-environment, of course... Als gebruiker maakt het minder uit als je UAC hebt aan staan, plus dat een beetje gemak ook wel welkom is.

Soggney @Anonymoussaurus • 26 februari 2019 14:58

Dat beetje gemak zorgt dus voor grote ongemakken wanneer het fout gaat.
Zie het als wel of niet opruimen na je iets gebruikt hebt. Beter opruimen zodat je later geen bergen werk hebt.

Anonymoussaurus @Soggney • 26 februari 2019 14:59

Er is voor zover ik weet geen enkel verschil dat als je op een user account zit zonder admin rechten en vervolgens met een prompt moet bevestigen, of dat je nou met een admin account UAC op hoogste niveau zit en alsnog prompts krijgt. In beide gevallen krijg je die prompts.

R4gnax @Byte • 26 februari 2019 20:44

Nu staat er dat UAC uit moet staan.

Voor het aanpassen van de AppData en het start menu van de lokale gebruiker heb je geen admin token nodig. Dus iets in de gebruiker-specifieke start-up zetten kan zonder UAC en admin rechten.

Je hebt enkel admin-rechten nodig om het gedeelde start menu te bewerken en de malware ook naar andere users op hetzelfde systeem te verspreiden.

UAC biedt trouwens weinig soelaas. Sinds Windows 8 is het mogelijk om het voor 'normale' gebruikers die werken met één gedeelde user/admin account, de zgn. token-split administrator account, triviaal te bypassen. Microsoft rekent sinds Windows 8 UAC ook niet meer als security-barrière; waardoor loopholes niet via security advisories gerapporteerd worden of via security updates gepatched worden.

Deze malware zou op systemen waar UAC aan staat en mensen de voor huis-tuin-en-keukengebruik gewone token-split administrator account-opzet gebruiken, simpelweg een payload in de gebruikerspecifieke startup kunnen zetten, welke bij eerstvolgende start een bypass initieert om zichzelf naar de algemene startup folder te verplaatsen.

Anonymoussaurus 26 februari 2019 14:37

Tip (niet alleen toepasbaar voor deze situatie): schakel UAC (User Account Control) in zodat je, als er iets geëxtraheerd of uitgevoerd wordt, je op 'ja' of 'nee' moet klikken. Zoals hier: https://www.howtogeek.com...i+cp+md.ic.vgd1IxRdZ1.png

Kan je doen door deze op hoogste setting te zetten: https://www.howtogeek.com...i+cp+md.ic.vgd1IxRdZ1.png

Alex3 @Anonymoussaurus • 26 februari 2019 15:59

Dat werkt niet, want de backdoor komt zowel in de algemene startfolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
als in die van de gebruiker: C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Anonymoussaurus @Alex3 • 26 februari 2019 16:05

Laat me raden, en dan krijg je zo'n UAC pop-up niet omdat dat een 'vertrouwde' folder is?

Mijzelf @Alex3 • 26 februari 2019 17:03

Dat werkt niet, want de backdoor komt zowel in de algemene startfolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
als in die van de gebruiker: C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Dat is wel vreemd. <user name> is een variabele hier, dus hoe kun je dat in een archief stoppen?

Sinnergy @Mijzelf • 26 februari 2019 18:30

Gebruik maken van "..\" en vanuit gaan dat de file in de 'standaard' Downloads folder staat?

R4gnax @Mijzelf • 26 februari 2019 20:26

[...]

Dat is wel vreemd. <user name> is een variabele hier, dus hoe kun je dat in een archief stoppen?

Je kunt onder Windows gebruik maken van speciale folder aliases en van daar uit een relatief pad naar de start menu structuur volgen:

%ProgramData%\Microsoft\Windows\Start Menu\Startup
is de startup van het gedeelde start menu; en
%AppData%\Microsoft\Windows\Start Menu\Startup
is de startup van het gebruiker-specifieke start menu.

[Reactie gewijzigd door R4gnax op 23 juli 2024 01:30]

Core2016 @Alex3 • 26 februari 2019 20:39

C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start zou het dan zijn maar die map Start bestaat niet meer dus "shell:startup" runnen.

CivLord

@Anonymoussaurus • 26 februari 2019 15:34

Dan moet je wel begrijpen wat de melding inhoudt. De meesten die de melding begrijpen zullen inmiddels WinRAR wel geüpdatet hebben.
En het moet niet zoveel meldingen krijgen dat je na een paar dagen automatisch op 'Ja' klikt, omdat dat de vorige duizend keer ook de juiste keuze was.

iketot 26 februari 2019 15:49

Waarom wordt zo een lek wereldkundig gemaakt ?

Dat is toch gewoon vragen om misbruik er van te maken, zoals nu is gebeurd ?

Konden ze dit niet gewoon beter melden aan Winrar, en NA de fix wereldkundig maken ?

Malarky @iketot • 26 februari 2019 17:07

28 januari was het lek echter al gefixed in WinRAR 5.70 Beta 1 - en gezien de beschrijving daarmee ook gelijk publiekelijk bekend.

5 februari is het lek voor het eerst officieel publiek gemaakt.

25 februari kwam 360 Threat Intelligence Center het lek voor het eerst in het wild tegen.

Al met al dus keurige timelines!
‏

[Reactie gewijzigd door Malarky op 23 juli 2024 01:30]

iketot @Malarky • 26 februari 2019 18:38

Ah ok. Dat is wel netjes gedaan dan!

Verwijderd 26 februari 2019 14:35

Maar je moet dus nog wel eerst dat beruchte attachment ontvangen en openen met WinRar op een Windows machine. Lijkt me dus nog wel mee te vallen als je je gewoon houdt aan de best practices. (lees: geen bestanden openen waarvan je de bron niet kent/vertrouwt)

vraag: op het moment dat je bent geïnfecteerd wordt dit dan al wel opgepakt door Windows Defender of een andere virus scanner?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:30]

HakanX @Verwijderd • 26 februari 2019 14:50

Dit is een manier (exploit) om ongevraagd een programma/virus/backdoor te installeren. Dus kan best eentje zijn die de virusscanner niet als een gevaar ziet. Denk bv aan VNC installeren, is geen virus, maar degene die het installeert kan wel lekker op je pc.
Nu bekend is dat unacev2.dll gevaarlijk is, zou dat juist als exploit aangemerkt moeten worden door de scanners, weet alleen niet of dat wordt gedaan. Dan is het probleem direct bij de basis opgelost.

.oisyn Moderator Devschuur® @HakanX • 26 februari 2019 18:28

Nu bekend is dat unacev2.dll gevaarlijk is

Die DLL is zelf niet gevaarlijk, maar het bevat een lek.

GekkePrutser @Verwijderd • 26 februari 2019 15:33

Rar wordt veel gebruikt voor het downloaden van beschermde content via bijvoorbeeld Usenet en torrents. Het is daar veel gebruikelijker dan bijvoorbeeld zip. Dus dit zou best een grote impact kunnen hebben.

MrMonkE @Verwijderd • 26 februari 2019 22:02

Nee wat betreft windows defender. Ik had laatst 26 exe's en slechts 12 werden door Defender gezien. de rest had ik gewoon uit kunnen voeren. Upload naar virus total gaf aan dat het trojans waren. Dus toen maar even Trend micro housecall gedraaid, hoewel ik nietshad uitgevoerd. Better safe than sorry.

HMC @Verwijderd • 26 februari 2019 14:42

[inkoppertje]

Helaas geldt dat niet voor iedereen. Als je (groot-)ouders op, zeg, een forum geabonneerd zijn, bijvoorbeeld over historische gebouwen (persoonlijk voorbeeld

) en regelmatig nieuwe foto's krijgen toegestuurd, middels .rar's of .zip's, dan kan je het hen niet kwalijk nemen dat ze GamersNexus of Tweakers niet gelezen hebben.

Ik heb hen zelf dan ook maar verteld dat ze de nieuwste versie van WinRar erop moeten zetten.

Core2016 @DeCo • 26 februari 2019 20:34

Als je met winrar iets zipt en een password erop zet is het ook niet met windows zip uit te pakken. Nutteloos dus. Ik stuur daarom ook alleen nog maar unencrypted zipjes door ookal zou ik anders willen. Niemand snapt dit. Rar is nutteloos als je niets illegaals doet is toch wel een statement waar ik achter sta inmiddels.

epias 26 februari 2019 19:14

WinRAR kijkt bij het openen van een bestand naar de file signature (magic). Een '.ace' bestand kun je gewoon hernoemen naar iets wat WinRAR opent, bv. '.rar'. Simpelweg naar de extensie kijken gaat je niet helpen!

MrMonkE @epias • 26 februari 2019 22:06

Precies. Old school!
Kijken naar magic bytes en niet naar extensies!
De enige juiste manier.

adje123 26 februari 2019 14:38

Twee dingen zijn oneindig:
human stupidity en de trial version van WinRar.

Verwijderd @adje123 • 26 februari 2019 14:42

Het is het eerste wat ik doe mocht ik ooit miljonair worden: een betaalde licentie WinRAR nemen.

Duckman51 @Verwijderd • 26 februari 2019 16:43

Daar hoef je geen miljonair voor te zijn

stresstak @Duckman51 • 26 februari 2019 21:57

Dat is waar, maar het is een voornemen, geen geldgebrek per se.

Verwijderd @Duckman51 • 26 februari 2019 22:43

Dan is de grap niet goed doorgekomen, ik ga hem niet uitleggen

dutchruler 26 februari 2019 15:07

Voordat 7zip populair was werd ace best wel vaak gebruikt in the Warez scene. Wellicht dat dit de reden was en dat we er pas achter 19 jaar achter zijn gekomen?

[Reactie gewijzigd door dutchruler op 23 juli 2024 01:30]

ErikRo 26 februari 2019 15:09

Maar goed de hamvraag kunnen virusscanners deze besmetting na uitpakken al detecteren indien jaar terug al je pc geïnfecteerd is?
Veel films bv zijn al in rar formaat en worden automatisch uitgepakt.

Ozzie 26 februari 2019 15:12

De laatste keer dat ik ergens een ACE-bestand heb gedownload is denk ook ongeveer 19 jaar geleden. Het verbaast me dat dat nog steeds ondersteund wordt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (106)

Sorteer op:

Weergave: