realmente parece tan extra�o? Yo ya habia pensado en esa capacidad, una pelicula Flash ejecutada desde un proyector tiene 2 capacidades muy importantes:
a/ puede ejecutar archivos b/ puede grabar datos en el disco no voy a publicar codigo, solo voy a exponer un caso experimental y teorico (no quiero movidas) 1 - Escribes el codigo potencialmente malicioso y contaminante (puedes basarlo en el famoso I love You o similares) en WSH. Asegurando que el archivo se propague por mail pareciendo un inofensivo swf attacheado (no incrustado). 2 - Encriptas el codigo con algun algoritmo facil (al tipo tambi�n del I love You) 3 - Una vez probado ese codigo lo copias y lo pegas dentro de una variable de flash. 4 - En tiempo de ejecucion desencriptas el codigo 3 - Usas el indocumentado fscommand save o haces el "truco" de command.exe echo para meter el script malicioso en el disco duro 4 - Lo ejecutas con fscommand exec Ya esta, has propagado el virus por mail mediante el API de Outlook, Una vez dentro del entorno WSH puedes hacer literalmente lo que quieras en el ordenador del usuario, como mandar a una ip el SAM o cualquier otra cosa. Todo un virus.... Vamos, a mi me parece que bastante gente de esta lista lo podria llega ha hacer sin ningun problema. Hay que tener en cuenta una maxima: Cualquier archivo swf ejecutado fuera del entorno teoricamente protegido del navegador es potencialmente capaz de acceder a tu ordenador como cualquier otra aplicacion, incluyendo los virus. Yo no llegue a llevar a cabo este proyecto por falta de tiempo pero estaria bien hacerlo para que la gente tuviese mas cuidado cuando ejecuta los swf en un Flash player standalone. La pregunta que propongo es: �Es esto realmente posible de llevar a cabo? �Que medidas puede tomar un antivirus contra esto? Ya que el swf en si mismo no es el virus sino es una especie de encapsulado que puede utlizar cualquier tipo de flag para activar el virus.... siendo el resto de las veces una animacion de la inocente caperucita roja... DDT <!-- Joseba Alonso Perez --> <!-- Desarrollador web --> <!-- www.inproweb.com --> <!-- www.sidedev.net --> ----- Original Message ----- From: "Alfonso Martin" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Wednesday, January 09, 2002 9:56 AM Subject: [flashmaestro] Virus para Macromedia Flash > Hola listeros! > Esto creo que puede ser de vuestro interes. > Desafortunadamente no es una buena noticia. > Advierto para los incr�dulos que Hispasec antes de publicar nada, contrasta y se asegura, > osea que ser� verdad. > > > ------------------------------------------------------------------- > Hispasec - una-al-d�a 08/01/2002 > Todos los d�as una noticia de seguridad www.hispasec.com > ------------------------------------------------------------------- > > Virus para Macromedia Shockwave Flash > ------------------------------------- > > Bautizado como SWF.LFM.926, este virus es capaz de infectar los > archivos de Shockwave Flash (extensi�n .swf). Se trata de una prueba > de concepto, un virus muy primitivo que tiene sus capacidades de > infecci�n y propagaci�n muy limitadas, por lo que este esp�cimen en > concreto no supone un riesgo real para los usuarios. > > El que este virus sea motivo de noticia se debe �nicamente al hecho de > ser el primero con la capacidad de infectar archivos Flash. Tal y como > hemos podido ver en otras ocasiones con virus similares para CorelDraw > o AutoCad, se trata de un esp�cimen rudimentario que tiene como �nico > objetivo demostrar que es posible crear un virus para un nuevo > formato, pero que no representa una amenaza por s� mismo. > > Para que SWF.LFM.926 entre en acci�n es necesario que abramos un > archivo .swf infectado de forma local, el virus no es capaz de > infectar desde una animaci�n Flash visualizada en una p�gina web. > Adem�s ser� necesario que contemos con una versi�n de Shockwave que > soporte ActionScript, el lenguaje de script en el que est� escrito el > c�digo del virus. > > En caso de abrir un archivo .swf infectado, el virus muestra el > mensaje "Loading.Flash.Movie..." mientras abre una sesi�n DOS para > crear y ejecutar el archivo V.COM, de 296 bytes, encargado de infectar > otros archivos .swf s�lo en el mismo directorio. El virus deja de > infectar si no encuentra archivos con el formato de Shockwave o si > alguno de ellos tiene atributo de s�lo lectura. > > Una limitaci�n m�s consiste en que para abrir la sesi�n DOS el virus > llama a CMD.EXE, el int�rprete de comandos en Windows NT/2000/XP, por > lo que SWF.LFM.926 no funcionar� bajo Windows 9x/Me donde deber�a > llamar a COMMAND.COM. > De momento la �nica preocupaci�n para el usuario debe consistir en > asegurarse de que la configuraci�n actual de su antivirus contempla > el chequeo de los archivos con extensi�n .swf, de cara a futuras > versiones m�s optimizadas en lo que a propagaci�n se refiere. > Tambi�n deber� extremar las preocupaciones si recibe un archivo > .swf, ya que cabe la posibilidad de que contenga en su interior un > virus o troyano. > > > Opina sobre esta noticia: > http://www.hispasec.com/unaaldiacom.asp?id=1171 > > M�s informaci�n: > Panda Software: SWF/LMF_926 > http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=SWF/LMF_92 6 > > Symantec: SWF.LFM.926 > http://www.sarc.com/avcenter/venc/data/swf.lfm.926.html > > McAfee: SWF/LFM.926 > http://vil.nai.com/vil/virusSummary.asp?virus_k=99297 > > Sophos: SWF/LFM-926 > http://www.sophos.com/virusinfo/analyses/swflfm926.html > > F-Secure: SWF.LFM.926 > http://www.f-secure.com/v-descs/swflfm.shtml > > Norman: SWF/LFM.926 > http://www.norman.com/virus_info/swf_lfm_926.shtml > > Bernardo Quintero > [EMAIL PROTECTED] > > ------------------------------------------------------------------- > Llave p�blica PGP en www.hispasec.com/claves/NoticiasHispasec.asc > ------------------------------------------------------------------- > (c) Hispasec, 2002 www.hispasec.com/copyright.asp > ------------------------------------------------------------------- >
