Het "Drag and Drop" lek dat onlangs in Internet Explorer ontdekt werd, is volgens Microsoft geen ernstig probleem, aangezien er interactie van de gebruiker vereist is om er misbruik van te maken. Om te laten zien waartoe het lek kan leiden maakte http-equiv een proof of concept (PoC), waarbij je een plaatje moest verslepen. Werd het plaatje in Internet Explorer versleept, dan werd het bestand malware.exe in de startup folder geplaatst. Aan de hand van deze proof of concept heeft mikx in 20 minuten een nieuwe variant gemaakt, die zowel het plaatje dat versleept moet worden, als de map waar het gedropt moet worden, verbergt. Hierdoor zal in zijn PoC het gebruik van de Windows scrollbar ertoe leiden dat er malware in de startup folder geplaatst wordt. Als bewijs heeft mikx deze pagina gemaakt, die meer informatie en het proof of concept bevat. Mikx laat tevens weten dat hij het PoC in slechts 20 minuten heeft gemaakt. Scriptkiddies met voldoende tijd kunnen dan ook andere manieren ontwikkelen om het lek in de nabije toekomst te misbruiken.
Ja en vergeet niet dat malware te verwijderen nadat je die PoC heb gedaan want anders schrik je als je je pc weer opstart de volgende keer
Gereageerd door NiMS op :
Drag & drop lek in Internet Explorer actief misbruikt
Onlangs verscheen het bericht over een proof of concept dat misbruik maakt van een fout in Internet Explorer. Microsoft gaf aan dit geen ernstige fout te vinden, aangezien er interactie van de gebruiker vereist is, maar via posts op usenet, welke berichten over de dood van Osama Bin Laden, worden gebruikers verwezen naar een website waar foto's zouden staan. Dit hebben we wel eens eerder gezien, maar het verschil is dat de gebruiker nu niets hoeft te downloaden als hij de site bezoekt met Internet Explorer op Windows XP. Als je de pagina bekijkt krijg je een disclaimer te zien, gebruik je echter de scrollbar dan zal een programma-bestand gekopieerd worden naar de opstart directory in het startmenu. Na een reboot zal het programma, door Windows uitgevoerd worden. Het lijkt om een kleine IRC bot trojan te gaan die verbinding maakt met een server in de VS. Er is nog geen oplossing beschikbaar.
WAARSCHUWING: het bezoeken van www.theparadise.x-y.net kan ertoe leiden dat er malware wordt geinstalleerd.
Een online scan van het bestand op de website virustotal.com geeft het volgende resultaat:
Scan results File: bad.exe Date: 09/07/2004 23:00:19 ---- BitDefender 7.0/20040907 found [Win32.Bagle.4.Gen@mm] ClamWin devel-20040822/20040906 found nothing Kaspersky 4.0.2.24/20040907 found [TrojanDownloader.Win32.Small.uw] McAfee 4389/20040901 found [New Malware.b] NOD32v2 1.864/20040907 found [probably unknown NewHeur_PE] Norman 5.70.10/20040907 found [W32/Backdoor] Panda 7.02.00/20040907 found nothing Sybari 7.5.1314/20040907 found [TrojanDownloader.Win32.Small.uw] Symantec 8.0/20040907 found nothing TrendMicro 7.000/20040901 found nothing
Gereageerd door LilWiz op :
Slechte scangegevens van Symantec
Gereageerd door NiMS op :
Symantec is één van de slechtste scanner die er is. Uit alle recentelijk gehouden tests komt hij er belabberd uit.
Gereageerd door LilWiz op :
quote:Origineel van NiMS: Symantec is één van de slechtste scanner die er is. Uit alle recentelijk gehouden tests komt hij er belabberd uit.
maar waarom wordt ie nog steeds zo hoog geprezen bij de consument cq bedrijven Gereageerd door NiMS op :
Omdat hij ooit eens goed is geweest. Waarom dat beeld blijft hangen, dat weet ik niet.
![[Confused]](confused.gif)