/*-----------------------------------------------------------------------*/
/* R I N G 0, I S S U E # 1 */
/*-----------------------------------------------------------------------*/
Вирус p0pa и внедрение через браузер
Gr.Protagor // SBVC
Santa // SBVC
Идея стара как мир... мы просто подведём итог. В Internet Explorer 5.0
от фирмы MicroSoft есть много дыр... одной из таких является
безнаказанная возможность создание файлов на диске пользователя.
Делается это при помощи объекта Scriptlet.TypeLib:
==========================================
set tl=CreateObject("Scriptlet.TypeLib")
tl.Reset
tl.Doc=vbCrLf+"cls"+vbCrLf
tl.Path="c:\test.bat"
tl.Write
set tl=nothing
==========================================
Сей участок кода создаёт в корне диска C: файл test.bat и записывает в
него cls...
Единственной проблемой данного метода является то, что в созданный файл
сверху пишется TypeLib(всякий мусор по-нашему), если бы не это - можно
было бы создавать EXEшники и COMщики прямо из инета... а так приходится
искать всякие обходные пути, создавать временные BATники или HTMLки.
Теперь о вирусе:
Вирус через браузер создаёт файл c:\win.bat
Он после перезагрузки, при помощи программы Debug создаст и запустит
COMщик, который найдёт и заразит EXPLORER.EXE
После его запуска активизируется уже виндовый вир...
Его описание: Ring0(LDT), TSR(IFS API), PE EXE infector
Деструкция : выдвигает CD-Rom через определённое время:)
Для того чтобы произошло заражение через браузер необходимо:
1. Win9x
2. IE 5.0
Приводимые тесты на IE5.5 и IE4 показали... хуй. Типа в IE4 такой дыры
ещё не было, а в IE5.5 уже пофиксили:)
Статистика показывает, что ~80% компьютерного мира используют Win9x +
IE5 (который входит в их поставку), так что время ещё есть -
торопитесь!
/*---------------------------------------------------------------------*/
Вирус Win9x.P0PA-2
Данный продукт является расширенной версией вируса Win9x.P0PA
(Win95.Apop) отличается лишь тем, что был исправлен небольшой баг :) и
изменина деструкция
Теперь описание:
При старте инфицированной программы вирус переходит в ring0 методом LDT
и садится на IFSAPI (как обычно:) В нуле вирус обрабатывает функцию
IFSFN_OPEN т.е. открытие файла и рассматривает файлы с расширением .EXE
и .MP3 Если файл .EXE то вирус пытается его заразить...
Метод заражения EXE-файлов:
Вирус раскидывает своё тело по секциям, т.е. записывает себя в
свободное место в конце каждой файловой секции... Тем самым размер
файла-жертвы не увеличивается. Если в файле не достаточно места под
вирус - он пропускается.
Метод "заражения" MP3-файлов:
Так сказать диструкция... В рандомное место MP3-шки записывается
строчка, состоящая из 50 слов "Fuck", это конечно не ощутимо сразу на
слух, но через какое-то время начинает доставать :)) Фича заключается в
том, что куски, поверх которых записывается заветная строчка сохраняются
в самом конце файла... :) т.е. при желании MP3-шку можно привести к
исходному состоянию...
Мы компиляем так:
tasm32 /s /m /z /ml p0pa2.asm
tlink32 /Tpe /aa /c /x p0pa2,p0pa2.exe,, /L import32.lib
Вроде всё! Разбирайтесь, если что - пишите [email protected]
Все.
19.07.2001
Gr.Protagor // SBVC
Santa // SBVC
P.S. архивы прилагаются