eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› При запуске rtf файла винворд скачитвает исполняемый файл
Посл.ответ Сообщение


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 29 сентября 2013 13:27 · Поправил: KingSise New!
Цитата · Личное сообщение · #1

Каким образом при запуске обычного rtf файла возможен запуск исполняемого файла? Как посмотреть что действительно происходит при открытии? Первый раз с таким сталкиваюсь...

Пример такого файла в аттаче.

{ Атач доступен только для участников форума } - 1234.rar

Ранг: 390.3 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 29 сентября 2013 13:59 New!
Цитата · Личное сообщение · #2

KingSise пишет:
Пример такого файла в аттаче.

Э-э-м! А кто аттач спёр?

Вообще, для офис файлов(по крайней мере точно для word и excel) существуют встроенные скрипты на Visual Basic'е, т.е. можно писать что-то типа
Code:
  1. Shell(PathName[, WindowStyle])


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 29 сентября 2013 14:29 New!
Цитата · Личное сообщение · #3

ELF_7719116 пишет:
скрипты на Visual Basic'е, т.е. можно писать что-то типа


Можно, все был бы хорошо, если бы формат файла не был бы RTF

З.Ы. Аттачь прилепил снова, походу отвалился при отправке...


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 29 сентября 2013 14:42 New!
Цитата · Личное сообщение · #4

Вирусня, что примечательно антивири еще месяцев 5 назад его не видели и не определяли. Шифрует офисные документы.
Поиск в гугле по: Msftedit 5.41.21.2510


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 29 сентября 2013 14:57 New!
Цитата · Личное сообщение · #5

mysterio пишет:
Msftedit 5.41.21.2510


О, походу то что нужно, я до думал зачем столько процессов reg.exe запускается...

З.Ы. Файл выдрал, так и есть, шифрует по маске "|.doc|.DOC|.DBF|.docx|.DOCX|.rar|.RAR|.zip|.ZIP|.xls|.XLS|.xlsx|.XLSX|.db|.DB|.bak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|");

на асех дисках, где ( GetDriveTypeA(DriveChar) == 3 )

Жаль, с тайта http://pyramida.kz/gate.php? файл gate.php убрали, можно было б поспамить туда...


Ранг: 228.9 (наставник)
Статус: Участник
radical

Создано: 29 сентября 2013 15:10 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #6

А меня больше всего интересует первый вопрос без ответа:
KingSise пишет:
Каким образом при запуске обычного rtf файла возможен запуск исполняемого файла?

Сижу,читаю спецификацию RTF. Если кто знает - напишите.

add:
Нашёл такую статейку: http://www.kaspersky.ru/news?id=209
Я так понимаю, дыра именно MSовская ? то есть если я читаю ртф Atlantis Word Processor - то не страшно ?(пробовать не охота :s6


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 29 сентября 2013 16:05 · Поправил: KingSise New!
Цитата · Личное сообщение · #7

При запуске этого ртф ворд запускает reg.exe c параметрами:

reg delete HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Resiliency\DisabledItems /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Resiliency\StartupItems /f

За что отвечают эти ключи?

З.Ы поисковикпочти не выдет ссылок


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 29 сентября 2013 16:35 · Поправил: mysterio New!
Цитата · Личное сообщение · #8

http://support.microsoft.com/kb/813589/ru ?
http://support.microsoft.com/kb/822005 ?


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 29 сентября 2013 17:24 New!
Цитата · Личное сообщение · #9

Ну ладно, с этим все понятно, но как создать подобный rtf и как его можно распотрошить, не запуская его через винворд?

Как я понимаю, это реализовано через вставку объекта (Package)

Но как при открытии запустить приаттаченный файл на выполнение?

Ранг: 65.0 (постоянный)
Статус: Участник

Создано: 29 сентября 2013 18:10 · Поправил: hash87szf New!
Цитата · Личное сообщение · #10

ms office sploit

CVE-2012-0158
http://www.securelist.com/en/analysis/204792298/The_curious_case_of_a_CVE_2012_0158_exploit
Metasploit PoC
http://www.rapid7.com/db/modules/exploit/windows/fileformat/ms12_027_mscomctl_bof

Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 29 сентября 2013 18:14 New!
Цитата · Личное сообщение · #11

да сплоитов полно для офиса, зайдите на exploit-db.com к примеру и поищите, что интересует
 eXeL@B —› Крэки, обсуждения —› При запуске rtf файла винворд скачитвает исполняемый файл

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS