IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Безопасность (http://www.imho.ws/forumdisplay.php?f=19)
-   -   Новая угроза? (http://www.imho.ws/showthread.php?t=63030)

FantomIL 30.06.2004 22:47
Новая угроза?
 
Лазил я тут по бескрайним просторам И-нета и набрел на любопытную инфу. Появился новый способ подбрасывания трояна пользователю. Способ состоит в следующем.
Создаем текстовый файл с произвольным названием и вписываем туда два тега <HTML> и </HTML>. Теперь переименовываем файл file.txt в file.folder. В результате этот текстовик станет выглядеть, как директория, теперь, если попробовать открыть эту директорию, то она откроется в Интернет Эксплорере. Теперь остается встроить в эту псевдопапку джаваскрипт, который будет использовать какую-либо уязвимость этого браузера и отправить нашу "папку" жертве. Прикол в том, что файлы юзеры уже не запускают, а папку, скорее всего, откроют.
Берем трояна, конвертим его в BinHex-кодировку, открываем получившийся файл блокнотом и переносим его содержимое в соответствующее место нашей фальшивой папки.
Сам скрипт, который запускает это дело достаточно прост, но я его приводить здесь не буду, чтобы скрипт-киддесов не плодить.
Самое интересное, что эту багу не затыкают никакие заплатки Мелкосовта. Правда, говорят, что во втором сервиспаке эту дырку прикроют, но, опять же, не факт. Я так понял, что все это дело юзает mhtml-технологию, и, похоже (не уверен) является документированной возможностью ActiveX.
Так что будьте бдительны и не открывайте папки, которые приходят к вам по почте.

Псих 30.06.2004 23:06
ААА..меня похоже так "атакнули".. Тока я открывал архив. а меня кидал на веб.
как по мне это из этой оперы!

dM0d 30.06.2004 23:37
Пральна, поэтому дружно берем и отключаем ActiveX.
Тк с этим делом мона и винт форматнуть, проверено(jsexploit).
Сам этим в детстве прикалывался =)

Interceptor 01.07.2004 01:59
FantomIL
Я про это читал в журнале Хакер месяц назад. Действительно: так можно поиметь чела - сам проверял на своём же компе. Вот тока одна проблема: лично у меня Total Commander файл file.folder показывает именно как файл, а не папку. Проводник тоже. Но при запуске усё работает

FantomIL
Цитата:
Я так понял, что все это дело юзает mhtml-технологию
Абсолютно верно. Если надо - могу дать ссылку на тестовый сплоит (готовый файл file.folder), НО тока в приват! За ссылки сюда карают.

FantomIL 01.07.2004 09:56
Цитата:
Сообщение от dM0d
Пральна, поэтому дружно берем и отключаем ActiveX.
Тк с этим делом мона и винт форматнуть, проверено(jsexploit).
Сам этим в детстве прикалывался =)
Если я не ошибаюсь, это тебе не поможет. Как я уже говорил, дырку уберет только второй сервис-пак (может быть).
Interceptor,
спасибо, :) не нужно.
Сам скрипт прост, а зашифровать тело трояна от антивирусов (ты об этом хорошо знаешь :)) и ковертнуть в BinHex сейчас любой сможет. Так что надобности в ссылке нет.

Да, только что проверил. Стандартный проводник таки показывает этот файл, как папку. Система Вин2003Сервер. Стоят все апдейты и хотфиксы. Единственное что выдает, такэто именно расширение, но у многих стоит - не показывать расширение для стандартных файлов.

Interceptor 01.07.2004 10:47
Хм... у меня WinXP Corp SP1 eng + MUI
Показывает как файл :rolleyes:

Resizer 01.07.2004 14:58
У меня тоже показывает как файл (WinXP Corp SP1 eng + MUI)

SinClaus 01.07.2004 15:21
Есть простой режим безопасности: подозрительные письма уничтожаем на подлете, по внешнему И-нету ходим Оперой, и ни шагу - на завлекательные ссылки (и так сплошная порнография вокруг).

Interceptor 01.07.2004 17:16
SinClaus
Цитата:
по внешнему И-нету ходим Оперой
К статье об сплоите отмечалось, что даже если выбран браузер по-умолчанию НЕ IE, то всё равно именно IE откроет этот файл!

Resizer
Цитата:
У меня тоже показывает как файл (WinXP Corp SP1 eng + MUI)
Вывод: все садитесь на WinXP Corp SP1 eng + MUI ;)

FantomIL 01.07.2004 18:21
Странно, проверил на WinXP Corp SP1 eng, но без MUI - показывает, как папку. Проверял на работе, на сервере и на клиентах. Весь софт лецензионный, нетвиканный и везде стоят самые последние сервиспаки и багофиксы.
Везде результат один - папка. :confused:
Это, что ли MUI так влияет? :confused:
Жаль проверить не могу.
Interceptor, сделай доброе дело - проверь на такой же, как у меня конфигурации. Спасибо заранее. :)
Да, чуть не забыл, никаких сторонних файл-менеджеров не стоит.

Псих 01.07.2004 20:27
У мя был Win2k sp4 russ ..
и тоже показывало как файл!

Interceptor 02.07.2004 01:01
FantomIL
Цитата:
сделай доброе дело - проверь на такой же, как у меня конфигурации.
Ты имеешь в виду Вин2003Сервер? :rolleyes:

Кстати, у меня стоял Tc. Сейчас ещё и Far

Псих 02.07.2004 01:45
У мя в ТС показывал. я имею ввиду.. я проводником не пользуюсь!

FantomIL 04.07.2004 14:39
А кто-нибудь может проверить на машине без установленных файл-менеджеров и, чтоб нетвиканная была?
Я почему спрашиваю? Это не праздный интерес. Просто именно такие конфигурации, как правило, стоят в корпоративных сетях.
Есть у кого-нибудь возможность проверить: это Mui так действует или сторонний файл-менеджер?
Цитата:
Сообщение от Interceptor
Ты имеешь в виду Вин2003Сервер?
Или на 2000, или на ХР.

Interceptor 05.07.2004 09:22
FantomIL
Похоже, дело НЕ в ФС: проверил на ноуте, на котором XP и TC. Видит как папку. Значит, дело в MUI. Выход: все переходим на MUI ;)
Даже если русская винда :p

FantomIL 05.07.2004 11:45
Interceptor
Спасибо :).
У кого есть соображения по поводу того, почему MUI показывает, как файл. Возможно ли, что при установке MUI убирает стандартное расширение .folder из списка ассоциаций?
Проверьте на MUI, пожалуйста :)

Interceptor 05.07.2004 13:27
Ещё добавлю: если выглядит как папка, то просмотреть через F3 содержимое файла-папки нельзя. Хотя, это очевидно ;)

FantomIL
Запустил реестр и поискал .folder.
Нашёл: HCR\.folder
Похоже, твоя догадка не верна. Хотя, когда я строил гипотезы, то сам тока этим (твоей догадкой) мог объяснить сложившуюся ситуацию


Часовой пояс GMT +4, время: 12:06.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.