Новая угроза?

[FantomIL]

Лазил я тут по бескрайним просторам И-нета и набрел на любопытную инфу. Появился новый способ подбрасывания трояна пользователю. Способ состоит в следующем.
Создаем текстовый файл с произвольным названием и вписываем туда два тега <HTML> и </HTML>. Теперь переименовываем файл file.txt в file.folder. В результате этот текстовик станет выглядеть, как директория, теперь, если попробовать открыть эту директорию, то она откроется в Интернет Эксплорере. Теперь остается встроить в эту псевдопапку джаваскрипт, который будет использовать какую-либо уязвимость этого браузера и отправить нашу "папку" жертве. Прикол в том, что файлы юзеры уже не запускают, а папку, скорее всего, откроют.
Берем трояна, конвертим его в BinHex-кодировку, открываем получившийся файл блокнотом и переносим его содержимое в соответствующее место нашей фальшивой папки.
Сам скрипт, который запускает это дело достаточно прост, но я его приводить здесь не буду, чтобы скрипт-киддесов не плодить.
Самое интересное, что эту багу не затыкают никакие заплатки Мелкосовта. Правда, говорят, что во втором сервиспаке эту дырку прикроют, но, опять же, не факт. Я так понял, что все это дело юзает mhtml-технологию, и, похоже (не уверен) является документированной возможностью ActiveX.
Так что будьте бдительны и не открывайте папки, которые приходят к вам по почте.

[Псих]

ААА..меня похоже так "атакнули".. Тока я открывал архив. а меня кидал на веб.
как по мне это из этой оперы!

[dM0d]

Пральна, поэтому дружно берем и отключаем ActiveX.
Тк с этим делом мона и винт форматнуть, проверено(jsexploit).
Сам этим в детстве прикалывался =)

[Interceptor]

FantomIL
Я про это читал в журнале Хакер месяц назад. Действительно: так можно поиметь чела - сам проверял на своём же компе. Вот тока одна проблема: лично у меня Total Commander файл file.folder показывает именно как файл, а не папку. Проводник тоже. Но при запуске усё работает

FantomIL

Цитата:

Я так понял, что все это дело юзает mhtml-технологию

Абсолютно верно. Если надо - могу дать ссылку на тестовый сплоит (готовый файл file.folder), НО тока в приват! За ссылки сюда карают.

[FantomIL]

Цитата:

Сообщение от dM0d

Пральна, поэтому дружно берем и отключаем ActiveX.
Тк с этим делом мона и винт форматнуть, проверено(jsexploit).
Сам этим в детстве прикалывался =)

Если я не ошибаюсь, это тебе не поможет. Как я уже говорил, дырку уберет только второй сервис-пак (может быть).
Interceptor,
спасибо, не нужно.
Сам скрипт прост, а зашифровать тело трояна от антивирусов (ты об этом хорошо знаешь ) и ковертнуть в BinHex сейчас любой сможет. Так что надобности в ссылке нет.

Да, только что проверил. Стандартный проводник таки показывает этот файл, как папку. Система Вин2003Сервер. Стоят все апдейты и хотфиксы. Единственное что выдает, такэто именно расширение, но у многих стоит - не показывать расширение для стандартных файлов.

[Interceptor]

Хм... у меня WinXP Corp SP1 eng + MUI
Показывает как файл

[Resizer]

У меня тоже показывает как файл (WinXP Corp SP1 eng + MUI)

[SinClaus]

Есть простой режим безопасности: подозрительные письма уничтожаем на подлете, по внешнему И-нету ходим Оперой, и ни шагу - на завлекательные ссылки (и так сплошная порнография вокруг).

[Interceptor]

SinClaus

Цитата:

по внешнему И-нету ходим Оперой

К статье об сплоите отмечалось, что даже если выбран браузер по-умолчанию НЕ IE, то всё равно именно IE откроет этот файл!

Resizer

Цитата:

У меня тоже показывает как файл (WinXP Corp SP1 eng + MUI)

Вывод: все садитесь на WinXP Corp SP1 eng + MUI

[FantomIL]

Странно, проверил на WinXP Corp SP1 eng, но без MUI - показывает, как папку. Проверял на работе, на сервере и на клиентах. Весь софт лецензионный, нетвиканный и везде стоят самые последние сервиспаки и багофиксы.
Везде результат один - папка.
Это, что ли MUI так влияет?
Жаль проверить не могу.
Interceptor, сделай доброе дело - проверь на такой же, как у меня конфигурации. Спасибо заранее.
Да, чуть не забыл, никаких сторонних файл-менеджеров не стоит.

[Псих]

У мя был Win2k sp4 russ ..
и тоже показывало как файл!

[Interceptor]

FantomIL

Цитата:

сделай доброе дело - проверь на такой же, как у меня конфигурации.

Ты имеешь в виду Вин2003Сервер?

Кстати, у меня стоял Tc. Сейчас ещё и Far

[Псих]

У мя в ТС показывал. я имею ввиду.. я проводником не пользуюсь!

[FantomIL]

А кто-нибудь может проверить на машине без установленных файл-менеджеров и, чтоб нетвиканная была?
Я почему спрашиваю? Это не праздный интерес. Просто именно такие конфигурации, как правило, стоят в корпоративных сетях.
Есть у кого-нибудь возможность проверить: это Mui так действует или сторонний файл-менеджер?

Цитата:

Сообщение от Interceptor

Ты имеешь в виду Вин2003Сервер?

Или на 2000, или на ХР.

[Interceptor]

FantomIL
Похоже, дело НЕ в ФС: проверил на ноуте, на котором XP и TC. Видит как папку. Значит, дело в MUI. Выход: все переходим на MUI
Даже если русская винда

[FantomIL]

Interceptor
Спасибо .
У кого есть соображения по поводу того, почему MUI показывает, как файл. Возможно ли, что при установке MUI убирает стандартное расширение .folder из списка ассоциаций?
Проверьте на MUI, пожалуйста

[Interceptor]

Ещё добавлю: если выглядит как папка, то просмотреть через F3 содержимое файла-папки нельзя. Хотя, это очевидно

FantomIL
Запустил реестр и поискал .folder.
Нашёл: HCR\.folder
Похоже, твоя догадка не верна. Хотя, когда я строил гипотезы, то сам тока этим (твоей догадкой) мог объяснить сложившуюся ситуацию