[résolu]Casser un mot de passe d'un .chm compilé

[Pierre (aka Terdef)]

Bonjour,

 

Pour une fois que c'est moi qui pose une question

 

Comment être voyou avec les .chm compilés protégés par un mot de passe ?

 

Je suis en train d'analyser une attaque fulgurante conduite par un site piégé et j'ai besoin de voir quels sont les liens contenus dans un .chm compilé

 

Attaque de type MS03-011 (exploitation d'une faille, vulnérabilité ADODB stream, de gestion des fichiers html embarqués dans les fichiers .chm)

 

J'avoue ne m'être penché que sur les aspects détection et éradication de craqueurs et voleurs de mots de passe mais pas sur leur utilisation.

 

Réponse en MP de préférence.

 

Début de l'analyse visible sur le fil "Google redirigé"

"http://assiste.forum.free.fr/viewtopic.php?p=41506#41506

 

Cordialement

Modifié le 15 juin 2005 par Assiste.com

[O.Fournier]

Salut Monseigneur !

 

En somme tu recherches maintenant qui peut décompiler le truc ?

 

Question subsidiaire : faudrait avoir une idée du language ? En as tu une ?

[Pierre (aka Terdef)]

Salut Monseigneur !

 

En somme tu recherches maintenant qui peut décompiler le truc ?

 

Question subsidiaire : faudrait avoir une idée du language ? En as tu une ?

518063[/snapback]

 

 

Salut O.Fournier

 

C'est de l'html compilé en .chm

Je pense qu'il s'agit d'un truc standard à tous les .chm compilés, probablement avec un outil MS.

 

Lorsque je fais un clic droit > Afficher le code source sur le .chm j'ai une demande de mot de passe. Je pense qu'une fois le mot de passe passé, il n'y a pas de crypto, c'est juste du html pur.

 

J'ai le .chm à disposition (à utiliser avec précaution : ActiveX bloqué, navigateur bloqué, java et javascript désactivé, pop-up interdites)

 

L'analyse du .chm donne :

 

Sous Unix

AntiVir DR/Miner

ArcaVir JScript.Miner

Avast nothing

AVG Antivirus nothing

BitDefender Exploit.ADODB.Stream.Gen

ClamAV Trojan.Psyme.P

Dr.Web Trojan.DownLoader.305

F-Prot Antivirus virus dropper

Fortinet JS/ZNA.A

Kaspersky Anti-Virus Trojan-Downloader.JS.Miner

NOD32 JS/TrojanDownloader.Miner.A

Norman Virus Control nothing

VBA32 TrojanDownloader.Java.Miner

 

Sous Windows

AntiVir DR/Miner

AVG no virus found

Avira DR/Miner

BitDefender Exploit.ADODB.Stream.Gen

ClamAV Trojan.Psyme.P

DrWeb Trojan.DownLoader.305

eTrust-Iris CHM/Elkong!Dropper

eTrust-Vet JS.Elkong

Fortinet JS/ZNA.A

Ikarus no virus found

Kaspersky Trojan-Downloader.JS.Miner

McAfee VBS/Psyme

NOD32v2 JS/TrojanDownloader.Miner.A

Norman no virus found

Panda Trj/Zerolin.D

Sybari Exploit.Msits.A

Symantec Downloader.Trojan

TheHacker VBS/Psyme®

VBA32 TrojanDownloader.Java.Miner

 

Cordialement

[Invité tesgaz]

Salut pierre,

 

il faut utiliser les outils à disposition sur net pour le mot de passe ( john the ripper, etc..)

[Pierre (aka Terdef)]

Salut pierre,

 

il faut utiliser les outils à disposition sur net pour le mot de passe ( john the ripper, etc..)

518181[/snapback]

 

 

Merci Tesgaz

A+

[O.Fournier]

Hé, hé, comme t'y vas Tesgaz !

 

Euh je n'ose à mon tour parler de certains Suisses Allemands champions du crack ...

 

Mais pour une fois que c'est pour la bonne cause, on peut toujours voir .

 

Assist.com, si tu patauges, envoies moi le truc, mais uniquement par mon e-mail dans mon profil (Free). Celle là est sans soucis.

 

Je vais voir qui je peux trouver pour résoudre ça. Sans garantie, of course ...

[Pierre (aka Terdef)]

Bonsoir,

 

Sur l'un des .chm que je veux analyser, j'ai utilisé un décompilateur de chm

url=par là

 

Je me suis trouvé face à un script javascript encodé de type

<script type="text/JScript.Encode" language="JScript.Encode">#@~^+goAAA==@#@&P~,@#@&PP,0!UmDkGx,MnO|k m.D/bGU`*@#@&P~P`@#@&P~P,~\mD~(A\+.dbWU' C7kLmYKDRmwa#+M/rW etc. ...

 

J'ai donc utilisé un décodeur à

url=ici ou là

 

Petit script pour installer

AntiVir 6.31.0.5 06.15.2005 JS/Miner

AVG 718 06.14.2005 JS/Psyme

Avira 6.31.0.5 06.15.2005 JS/Miner

BitDefender 7.0 06.16.2005 Exploit.ADODB.Stream.Gen

ClamAV devel-20050501 06.15.2005 Trojan.Psyme.P

DrWeb 4.32b 06.15.2005 VBS.Psyme.127

eTrust-Iris 7.1.194.0 06.16.2005 JScript/ObjBase!Exploit!Worm

eTrust-Vet 11.9.1.0 06.15.2005 JS.CodeBase!downloader

Fortinet 2.35.0.0 06.16.2005 no virus found

Ikarus 2.32 06.15.2005 no virus found

Kaspersky 4.0.2.24 06.16.2005 Trojan-Downloader.JS.Miner

McAfee 4514 06.15.2005 VBS/Psyme

NOD32v2 1.1141 06.15.2005 JS/TrojanDownloader.Zna.A

Norman 5.70.10 06.15.2005 no virus found

Panda 8.02.00 06.14.2005 no virus found

Sybari 7.5.1314 06.16.2005 VBS/Psyme

Symantec 8.0 06.14.2005 no virus found

TheHacker 5.8-3.0 06.15.2005 no virus found

VBA32 3.10.3 06.15.2005 TrojanDownloader.Java.Miner

AntiVir Found JS/Miner

ArcaVir Found JScript.Miner

Avast Found VBS:Malware

AVG Antivirus Found JS/Psyme

BitDefender Found Exploit.ADODB.Stream.Gen

ClamAV Found Trojan.Psyme.P

Dr.Web Found VBS.Psyme.127

F-Prot Antivirus Found JS/Psyme.AF@dl

Fortinet Found nothing

Kaspersky Anti-Virus Found Trojan-Downloader.JS.Miner

NOD32 Found JS/TrojanDownloader.Zna.A

Norman Virus Control Found nothing

VBA32 Found TrojanDownloader.Java.Miner

 

Elle est pas belle, la vie ?

 

Merci

 

Cordialement

Modifié le 16 juin 2005 par Assiste.com

[O.Fournier]

Bravo comme d'hab !

 

La nuit fut longue pour toi. mais c'est du code d'amateur, JScript.Encode est référencé 100 fois sur le Web.

 

Rajoutons juste cette mention légale dans le droit-fil des activités de Zebulon (cf. sa charte), au cas où des rigolos en France auraient des idées pas très nettes avec ce genre d'outils : http://www.virtualconspiracy.com/?page=scrdec/legal

Modifié le 16 juin 2005 par O.Fournier

[Pierre (aka Terdef)]

Bonjour,

 

Tu as raison. J'ai donc édité mon post.

 

Cordialement