Вирус p0pa и внедрение через браузер


 /*-----------------------------------------------------------------------*/
 /*                       R I N G 0,    I S S U E   # 1                   */
 /*-----------------------------------------------------------------------*/

                   Вирус p0pa и внедрение через браузер

                                                      Gr.Protagor // SBVC
                                                      Santa // SBVC

  Идея  стара  как мир... мы просто подведём итог. В Internet Explorer 5.0
 от   фирмы   MicroSoft   есть  много  дыр...  одной  из  таких  является
 безнаказанная   возможность   создание  файлов  на  диске  пользователя.
 Делается это при помощи объекта Scriptlet.TypeLib:

 ==========================================
   set tl=CreateObject("Scriptlet.TypeLib")
   tl.Reset
   tl.Doc=vbCrLf+"cls"+vbCrLf
   tl.Path="c:\test.bat"
   tl.Write
   set tl=nothing
 ==========================================

  Сей  участок кода создаёт в корне диска C: файл test.bat и записывает в
 него cls...
  Единственной проблемой данного метода является то, что в созданный файл
 сверху  пишется  TypeLib(всякий мусор по-нашему), если бы не это - можно
 было  бы создавать EXEшники и COMщики прямо из инета... а так приходится
 искать всякие обходные пути, создавать временные BATники или HTMLки.

 Теперь о вирусе:

 Вирус через браузер создаёт файл c:\win.bat
 Он  после  перезагрузки,  при помощи программы Debug создаст и запустит
 COMщик, который найдёт и заразит EXPLORER.EXE
 После его запуска активизируется уже виндовый вир...

 Его описание: Ring0(LDT), TSR(IFS API), PE EXE infector
 Деструкция  : выдвигает CD-Rom через определённое время:)

 Для того чтобы произошло заражение через браузер необходимо:
   1. Win9x
   2. IE 5.0

  Приводимые  тесты на IE5.5 и IE4 показали... хуй. Типа в IE4 такой дыры
 ещё не было, а в IE5.5 уже пофиксили:)

  Статистика  показывает,  что ~80% компьютерного мира используют Win9x +
 IE5   (который   входит  в  их  поставку),  так  что  время  ещё  есть -
 торопитесь!

 /*---------------------------------------------------------------------*/

                            Вирус Win9x.P0PA-2


  Данный   продукт   является   расширенной   версией  вируса  Win9x.P0PA
 (Win95.Apop)  отличается  лишь тем, что был исправлен небольшой баг :) и
 изменина деструкция

  Теперь описание:

  При старте инфицированной программы вирус переходит в ring0 методом LDT
 и  садится  на  IFSAPI  (как  обычно:) В нуле вирус обрабатывает функцию
 IFSFN_OPEN  т.е. открытие файла и рассматривает файлы с расширением .EXE
 и .MP3 Если файл .EXE то вирус пытается его заразить...

  Метод заражения EXE-файлов:

  Вирус   раскидывает  своё  тело  по  секциям,  т.е.  записывает  себя в
 свободное  место  в  конце  каждой  файловой  секции... Тем самым размер
 файла-жертвы  не  увеличивается.  Если  в  файле не достаточно места под
 вирус - он пропускается.

  Метод "заражения" MP3-файлов:

  Так  сказать  диструкция...  В  рандомное  место  MP3-шки  записывается
 строчка,  состоящая  из  50 слов "Fuck", это конечно не ощутимо сразу на
 слух,  но через какое-то время начинает доставать :)) Фича заключается в
 том, что куски, поверх которых записывается заветная строчка сохраняются
 в  самом  конце  файла...  :)  т.е. при желании MP3-шку можно привести к
 исходному состоянию...

  Мы компиляем так:

 tasm32 /s /m /z /ml p0pa2.asm
 tlink32 /Tpe /aa /c /x p0pa2,p0pa2.exe,, /L import32.lib

  Вроде всё! Разбирайтесь, если что - пишите [email protected]

 Все.

 19.07.2001

 Gr.Protagor // SBVC
 Santa // SBVC

 P.S. архивы прилагаются