Hola d_pit
Siento desilucionarte, pero aunque tienes razon en que en el .swf puedes anexar un script peligroso, necesitas firmarlo primero.. cosa que cuesta un poco de trabajo jeje.. ya que aunque messenger solo verifica que este firmado, puedes firmarlo tu, solo necesitas un certificado.. ya que no verifica de quien es el certificado, no se si me entiendas.
sinembargo, la maquina victima una de 2.
1.- Le saldra un aviso de la nada avisando que el certificado no es de una fuente de confianza (como me pasa con los guiños que llegue a hacer)
2.- Que si se propaga, Microsoft simplemente hara que se verifiquen los origenes de los certificados.. lo que hara imposible para todos hacer nuestros propios guiños, y nadie gana.. sin embargo como ZeroDay esta perfecto
Una ultima cosa.
los xml no son ejecutados, son abiertos, por lo que no puedes meter un EXE, pero puedes hacer todo lo que hace un swf.. xD, te lo dejo a tu imaginacion.
Ultimamente, me ha llamado la atención.
has visto los juegos de Messenger?
estos se abren en una ventana de conversacion, con un handler de Internet Explorer, la url de los juegos, es enviada.. sin embargo, tu puedes controlar que web se abre del otro lado.. es decir, simulas que vas a jugar un juego, del otro lado sale la ventana de "Ta persona te ha invitado a jugar XXX" al dar aceptar se abre la ventana..
Este tiene sus pros y contras:
pros:
Puedes explotar bugs de javascript y bof de internet explorer, viejos, y van a funcionar..
contras:
a diferencia de lo que tu mencionas, este pide una autorizacion, lo que necesita un poco de ingenieria social..
en fin, solo les dejo esto como extra
Saludos!!
Suscripción al boletín mensual de elhacker.net
Autor
En línea
