|
gildot |
|
| |
| "Scrap Object" no Windows NT 4.0 |
| | | Contribuído por chbm em 22-06-00 12:09 do departamento fsck-me-harder |
| | | | | | HTML Checker escreve "Ola pessoal ... Hoje o sistema de mail da minha empresa foi atacado por um novo virus que se propaga mais uma vez atraves do famosissimo "Outlook". O virus mais uma vez vem na forma de um email com um attachment que os leitores são supostos abrir. O engracado neste é que o ficheiro tem o nome the "LIFE_STAGES.TXT.SHS" " [CONTINUA com a descrição do que aconteceu] |
| | | | | HTML Checker continua:" Não existe nenhum problema se o ficheiro for gravado no disco. quando fiz isto uma das coisas mais engraçadas que eu já vi no Windows acontece.
O ficheiro quando gravado no disco o nome dele visivel fica: LIFE_STAGES.TXT e como sendo do tipo "Scrap Object". E o engracado é que a extensao SHS desapareceu de vista. Mas se formos ver as propriedades do ficheiro vemos que no nome longo é "LIFE_STAGES.TXT. Mas o nome 8.3 é LIFE_~.SHS
E a seguir vem o mais engracado ainda e' que este tipo de objecto "Scrap Object" é que quando double clickado vai ser corrido pela seguinte command line:
rundll32 %SystemRoot%\system32\shscrap.dll,OpenScrap_RunDLL %1
Claro que continuei a investigacao e cheguei ao ponto de saber que esta DLL pertence à Microsoft, mas nao existe documentacao nenhuma acerca dela. Mas pelo que parece permite correr codigo vb script.
Muito engraçado não é, vindo da Microsoft?
Mas o ainda mais engracado na historia é que eu me encontro a trabalhar com o Windows NT 4. Ou seja não deveria ter os nomes na forma 8.3. Claro que se continuo a usar o Explorer e tentar mudar o nome do ficheiro não consigo remover a extensao SHS porque me parece que é invisivel no Explorer. Mas se usar o MS-DOS prompt aí tenho acesso ao nome completo e posso remover a extensao, muda-la etc. Tomei o cuidado de verificar e no meu Explorer estou a ver todos os ficheiros e sem esconder a extensão.
Mais uma vez muito engraçado não é? Ou seja não temos controlo completo das coisas que se passam no Widnows.
No fim de tudo isto o ficheiro contem codigo em VB script que faz o usual de criar dirs, ver o address book e fazer forwards etc.
Alguem quer comentar?
Um abraço
HTML Checker.
P.S. Se quiserem fazer uma experiencia criem um ficheiro e no Explorer mudem o nome para qualquer coisa com duas extensões em que a ultima é SHS. " < Hyperlinks© British Telecom | Servidores de gama *muito* baixa > | | gildot Login | | | Referências | | |
Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. | | | Aqui há uns tempos apareceu na bugtraq uma thread sobre isto. O que acontece é que o Windows permite definir tipos de ficheiro para os quais a extensão nunca é exibida (que é o que acontece nos Scrap Objects), independentemente da configuração do explorer. No registry, em HKEY_CLASSES_ROOT\ShellScrap há uma string de nome 'NeverShowExt'. Alterando o nome para 'AlwaysShowExt' o explorer passa a mostrar a extensão dos Scrap Objects. Isto acontece para vários tipos de ficheiro, até na minha máquina que não tem quase software M$ instalado.
A thread da bugtraq está aqui.
Shadow |
| | | por Anonimo Cobarde em 22-06-00 16:01 GMT (#2) |
| Já o ‘Windows 95’, mesmo sem ser o ‘OSR2’, mostrava alguns ficheiros sem extensão. Tratavam-se dos .lnk e .pif, pois o menú iniciar ficaria horrível com eles. Quanto ao facto do ‘Windows NT 4.0’ não suportar nomes curtos, isso não é bem verdade. Basta fazer dir /x e é possível visualizá-los. O mais engraçado é que o algoritmo utilizado para os calcular é diferente do do ‘Windows 9x’. O ficheiro Relatorio_Intercalar.tex em vez de RELATO~1.TEX, fica com o nome RELAT~YQ.TEX, por exemplo. Acresce que há uma forma (que neste momento não me recordo) de no ‘Windows 9x’ conseguir ter nomes curtos mais próximos dos originais longos; não sei se é utilizando o algoritmo que o ‘Windows NT 4.0’ utiliza, pois é um bocado questionável que aquilo seja mais próximo. Ah, como é bom ser utilizador de ‘Unix’… |
| | | | Algures debaixo do Explorer -> View -> Options selecciona-se se se quer ou não que as extensões de certos files sejam mostradas. Essa coisa vem por default selecionada para não mostrar as extensões, e é das primeiras coisas que eu mudo quando tenho o azar de ter que instalr um windows. IMO a opção microsoftica de esconder essas coisas by default é trágica, pois coloca os users não especialistas à mercê de espertezas como a de dar aos virus nomes tipo README.TXT.EXE (coisa que os propagadores de virus fazem alegremente)... |
| | | | | Mas neste caso não é disso que se trata. Como já foi dito pelo Shadow, podes definir no Registry tipos de ficheiros para os quais a extensão NUNCA é visivel. O exemplo mais típico é o .pif . Se mudares por exemplo a extensão de um file teste.txt para teste.pif, a extensão desaparece e a única maneira de mudar a extensão é via DOS (como é que será no Win2000?). Já é bastante frequente no IRC virus do tipo que mandam files por dcc com extensões .avi.pif |
| | | por Anonimo Cobarde em 23-06-00 8:21 GMT (#7) |
| O Post original refere explicitamente ter essa opcao da forma correcta, ou seja, a mostrar as extensoes para *todos* os ficheiros. |
| | | | Mais uma vez o que poderemos dizer ?? Winblows Winshit Win suckz ..................... Odiado por uns adorado por outros parece que o M$ Win comeca a ficar sem mtos amigos ... talvez um dia se extinga a raça M$ e todos os seus produtos ! |
| | | | http://www.symantec.com/region/br/avcenter/data/vbs.stages.a.html VBS.Stages.A Este worm aparece como um anexo com o nome de LIFE_STAGES.TXT.SHS. A execução deste anexo irá abrir um arquivo de texto no Bloco de Notas, exibindo os estágios feminino e masculino da vida. Enquanto o usuário está lendo o arquivo de texto o script é executado em segundo plano. Este worm se espalha sozinho usando o Outlook, ICQ, mIRC e PIRCH. O SARC sugere que os clientes corporativos configurem os seus sistemas para filtrar ou bloquear todos os e-mails recebidos que tenham anexos com a extensão .SHS. As definições de vírus para este worm estão disponíveis aqui. Também conhecido como: IRC/Stages.worm, Life_Stages Worm Categoria: Worm Extensão da infecção: 39,936 bytes Definições do virus: O certificado das definições está pendente. As definições beta estão disponíveis aqui. Estimativa da Ameaça: Atuação: Alta Danos: Baixo Distribuição: Alta Atuação Número de infecções: 0-49 Número de locais: 0-2 Distribuição geográfica: Baixa Controle da ameaça: Fácil Remoção: Difícil Danos Gatilho: Execução do anexo LIFE_STAGES.TXT.SHS Carga: E-mails em grande escala: Envia e-mails para todo o catálogo de endereços do MS Outlook Arquivos modificados: Registro do Sistema, Regedit.exe Causa instabilidades no sistema: Pode sobrecarregar os servidores de e-mail Distribuição Assunto do e-mail: Existem 12 possibilidades para o assunto de e-mail Nome do anexo: LIFE_STAGES.TXT.SHS Tamanho do anexo: 39,936 bytes Unidades compartilhadas: Copia a si mesmo para todas as unidades mapeadas Descrição técnica: Um arquivo SHS é um arquivo Microsoft Scrap Object (Objeto Recorte da Microsoft). Este tipo de arquivo é um executável e pode conter uma grande variedade de objetos. A extensão do objeto recorte (SHS) não aparece no Windows Explorer, mesmo se as extensões para todos os tipos de arquivo estiverem sendo exibidas. Depois de executar este worm, seu sistema é modificado de várias maneiras: SCANREG.VBS, VBASET.OLB E MSINFO16.TLB são criados no diretório \WINDOWS\SYSTEM. A chave de registro HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/ScanReg é adicionada para executar o arquivo SCANREG.VBS ao iniciar o Windows. LIFE_STAGES.TXT.SHS é criado no diretório \WINDOWS. Um arquivo nomeado aleatoriamente no formato Rand1+Rand2+Rand3.txt.shs onde Rand1 = IMPORTANT, INFO, REPORT, SECRET, ou UNKNOWN e Rand2 = - ou _ e Rand3 = um número aleatório entre 1 e 1000. Ele é criado dentro do diretório raiz de todas as unidades mapeadas, dentro de \Meus Documentos e de \WINDOWS\START MENU\PROGRAMS. Por exemplo, report_439.txt.shs ou IMPORTANT-707.TXT.SHS. O arquivo regedit.exe é movido para a Lixeira (Recycle Bin) como um arquivo de sistema oculto chamado RECYCLED.VXD. MSRCYCLD.DAT, RCYCLDBN.DAT e DBINDEX.VBS são criados dentro da Lixeira (Recycled Bin) como arquivos de sistema ocultos. MSRYCLD.DAT é uma cópia do arquivo SHS original. RCYCLDBN.DAT é uma cópia do arquivo SCANREG.VBS. DBINDEX.VBS é configurado para ser executado quando o ICQ é iniciado. O script para o mIRC é modificado para chamar o arquivo SOUND32B.DLL, que faz com que o worm se espalhe através do mIRC e do PIRCH. O worm envia um e-mail para os endereços listados no seu Catálogo de Endereços do MS Outlook. O e-mail contém o anexo LIFE_STAGES.TXT.SHS. O assunto do e-mail é aleatoriamente gerado e pode ser uma entre doze linhas. Ele pode ou não iniciar com "Fw:". Ele irá conter "Life stages", "Funny" ou "Jokes" e pode ou não ser seguido de "text". Os exemplos podem ser "Fw: Life stages", "Jokes text" ou "Fw: Funny text". O worm apaga imediatamente as cópias dos e-mails depois de tê-los enviado, para assegurar de que não existirão registros de sua presença. Remoção:: Você deve apagar todos os arquivos .txt.shs de seu sistema. Apague também os arquivos SCANREG.VBS, VBASET.OLB e MSINFO16.TLB do diretório \WINDOWS\SYSTEM. Você vai precisar restaurar o registro usando o regedit. Para fazer isto, primeiro abra um prompt do MS-DOS e vá para o diretório \RECYCLED. Usando o comando attrib, modifique as configurações dos arquivos que o worm criou ali. O comando deve ser attrib -hsr recycled.vxd e assim por diante para cada um desses arquivos. Copie RECYCLED.VXD como \WINDOWS\REGEDIT.EXE e então apague os 4 arquivos que você modificou. Usando o regedit faça as seguintes modificações no registro: Apague o valor HKLM/Software/Microsoft/Windows/RunServices/Scanreg. Apague os valores Enable, Parameters, Path e StartUp na chave HKEY_USERS/.Default/Software/Mirabilis/ ICQ/Agent/Apps/ICQ Apague o valor HKLM/Software/Microsoft/Windows/CurrentVersion/OSName. Modifique o valor para HKCR/regfile/DefaultIcon substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE. Modifique o valor para HKCR/regfile/shell/open/command substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE. Modifique o valor para HKLM/Software/CLASSES/regfile/shell/open/command substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE. Modifique o valor para HKLM/Software/CLASSES/regfile/DefaultIcon by substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE. |
| |
|