Osoba podpisana jako Grzegorz Niemirowski <gnthexfiles@poczta.onet.pl> w
artykule <news:drvn84$t2a$1@opal.icpnet.pl> pisze:
> Olek <semics@op.pl> napisał(a):
>> Ok wysylam
>
> Wygląda na najwyklejszego jotpega.
Zwróciłeś uwagę na rozmiar tego pliku? Nie wydaje Ci się, że powinieneś
poprosić o przesłanie dalej całej otrzymanej wiadomości, a nie samego
obrazka?
> Jeśli byłby tam wirus to:
> a) programy graficznie wyświetlałyby go a wyświetlają. Wygląda jak tło
> papeterii w mailu HTML.
> b) musiałby wykorzystywać jakąś lukę w bibliotekach wyświetlajacych JPEG
> (tak jak w przypadku grudniowej luki w WMF), tymczasem o niczym takim nie
> słychać
> Dlatego wydaje mi się, że jeśli masz zarażony komputer to nie przez ten
> plik.
Etam. To jest prawdopodobnie coś w rodzaju DSO Exploit, czyli starego błędu
w ustawieniach dla strefy zabezpieczeń "Mój komputer", wykrywanego od dawna
przez program Spybot S&D: http://www.safer-networking.org/pl/faq/36.html
Przykładowy mail jest w html i zawiera skrypt (stąd rozmiar tylko 3 KB), a
plik jpg umieszczony jako <img src=...> jest dociągany z serwera.
Obrazek jest po to, żeby kliknąć na niego i przy okazji sciągania
zewnętrznej
zawartości wykonać skrypt, a skrypt np. otwiera okno Eksploratora. Dla
większego efektu w mailu może być tekst "A teraz przeglądam zawartość
Twojego dysku".
Tu masz przykład z uruchomieniem kalkulatora:
http://www.greymagic.com/security/advisories/gm001-ie/
Oczywiście mogę się mylić w szczegółach, ale mechanizm prawie na pewno jest
wspomagany przez bezmyślne klikanie użytkownika.
-- Andrzej P. Woźniak uszer@pochta.onet.pl (zamień miejscami z<->h w adresie)Received on Fri Feb 3 16:15:14 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 03 Feb 2006 - 16:42:01 MET