08-08-2010, 11:52 AM
(آخر تعديل لهذه المشاركة: 08-08-2010, 11:55 AM بواسطة STRELiTZIA.)
السلام عليكم ورحمة الله
اظن ان الكل اصبح يعلم بوجود ثغرة تتيح استغلال ملفات (اختصارات) *.lnk لتنفيذ اوامر دون تدخل المستعمل.
على عكس ملفات Autorun.inf فان التعامل البسيط مع ملفات *.lnk مثل: نسخ، لصق، اعادة التسمية، قراءة خصائص ملف *.lnk او بمجرد الدخول للسواقة الملغومة او المجلد الملغوم سواء دخول مباشر او غير مباشر يتم عن طريق Open او Save من برامج اخرى، فانه يتم تنفيذ الأوامر.
تسارعت برامج الحماية في برمجة ادوات حماية و احتياط و تبعتها شركة مايكروسوفت بالترقيع.
يعني نوعا ما و بتحفظ انتهت الحكاية مع الترقيع الموضوع في الموقع الرسمي لشركة مايكروسوفت، و اصبح اصحاب Windows Xp Sp2 خارج اللعبة بما انه تم اعلان ايقاف الدعم لــ Sp2 منذ اشهر.
لفحص جهازك و امكانية اصابته بالثغرة، حمل الــ Dropper التجريبي المرفق و قم بتشغيله ثم جرب العمليات السابقة.
الــ Dropper:
- يقوم بتنزيل ملفيت: Test.lnk و Test.dll في جميع السواقات.
- يظهر رسالة في كل مرة تم فيها استدعاء المكتبة.
- اذا لم يتم اغلاق الرسائل التي يظهرها يتم تجميد Windows Explorer
الملف التجريبي غير ضار و آمن يقوم فقط باشتغلال الثغرة، و التأكد من ان الجهاز لا يحتوي الثغرة بعد تطبيق ترقيع شركة مايكروسوفت.
بالتوفيق ان شاء الله
اظن ان الكل اصبح يعلم بوجود ثغرة تتيح استغلال ملفات (اختصارات) *.lnk لتنفيذ اوامر دون تدخل المستعمل.
على عكس ملفات Autorun.inf فان التعامل البسيط مع ملفات *.lnk مثل: نسخ، لصق، اعادة التسمية، قراءة خصائص ملف *.lnk او بمجرد الدخول للسواقة الملغومة او المجلد الملغوم سواء دخول مباشر او غير مباشر يتم عن طريق Open او Save من برامج اخرى، فانه يتم تنفيذ الأوامر.
تسارعت برامج الحماية في برمجة ادوات حماية و احتياط و تبعتها شركة مايكروسوفت بالترقيع.
يعني نوعا ما و بتحفظ انتهت الحكاية مع الترقيع الموضوع في الموقع الرسمي لشركة مايكروسوفت، و اصبح اصحاب Windows Xp Sp2 خارج اللعبة بما انه تم اعلان ايقاف الدعم لــ Sp2 منذ اشهر.
لفحص جهازك و امكانية اصابته بالثغرة، حمل الــ Dropper التجريبي المرفق و قم بتشغيله ثم جرب العمليات السابقة.
الــ Dropper:
- يقوم بتنزيل ملفيت: Test.lnk و Test.dll في جميع السواقات.
- يظهر رسالة في كل مرة تم فيها استدعاء المكتبة.
- اذا لم يتم اغلاق الرسائل التي يظهرها يتم تجميد Windows Explorer
الملف التجريبي غير ضار و آمن يقوم فقط باشتغلال الثغرة، و التأكد من ان الجهاز لا يحتوي الثغرة بعد تطبيق ترقيع شركة مايكروسوفت.
كود :
Malware LNK sample
This is just another test related to "Automatic LNK Shortcut File Code Execution.
Only for education purpose.
Launch "Dropper.exe" and Try to:
- Copy, rename, move Test.lnk file.
- Try to explore, search and open dirves.
[COLOR=Red]- Read Test.lnk Properties -->> Important test.[/COLOR]
Dropper action: Block your Windows Explorer using ShowModal Msg.
(c) 2010 by STRELiTZIA
بالتوفيق ان شاء الله