Каким образом при запуске обычного rtf файла возможен запуск исполняемого файла? Как посмотреть что действительно происходит при открытии? Первый раз с таким сталкиваюсь...

Пример такого файла в аттаче.

d59b_29.09.2013_EXELAB.rU.tgz - 1234.rar

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Пример такого файла в аттаче.
Э-э-м! А кто аттач спёр?

Вообще, для офис файлов(по крайней мере точно для word и excel) существуют встроенные скрипты на Visual Basic'е, т.е. можно писать что-то типа

| Сообщение посчитали полезным:

ELF_7719116 пишет:
скрипты на Visual Basic'е, т.е. можно писать что-то типа

Можно, все был бы хорошо, если бы формат файла не был бы RTF

З.Ы. Аттачь прилепил снова, походу отвалился при отправке...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Вирусня, что примечательно антивири еще месяцев 5 назад его не видели и не определяли. Шифрует офисные документы.
Поиск в гугле по: Msftedit 5.41.21.2510

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio пишет:
Msftedit 5.41.21.2510

О, походу то что нужно, я до думал зачем столько процессов reg.exe запускается...

З.Ы. Файл выдрал, так и есть, шифрует по маске "|.doc|.DOC|.DBF|.docx|.DOCX|.rar|.RAR|.zip|.ZIP|.xls|.XLS|.xlsx|.XLSX|.db|.DB|.bak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|");

на асех дисках, где ( GetDriveTypeA(DriveChar) == 3 )

Жаль, с тайта http://pyramida.kz/gate.php? файл gate.php убрали, можно было б поспамить туда...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

А меня больше всего интересует первый вопрос без ответа:
KingSise пишет:
Каким образом при запуске обычного rtf файла возможен запуск исполняемого файла?
Сижу,читаю спецификацию RTF. Если кто знает - напишите.

add:
Нашёл такую статейку: http://www.kaspersky.ru/news?id=209
Я так понимаю, дыра именно MSовская ? то есть если я читаю ртф Atlantis Word Processor - то не страшно ?(пробовать не охота :s6

-----
ds

| Сообщение посчитали полезным:

При запуске этого ртф ворд запускает reg.exe c параметрами:

reg delete HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Resiliency\DisabledItems /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Resiliency\StartupItems /f

За что отвечают эти ключи?

З.Ы поисковикпочти не выдет ссылок

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

http://support.microsoft.com/kb/813589/ru ?
http://support.microsoft.com/kb/822005 ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Ну ладно, с этим все понятно, но как создать подобный rtf и как его можно распотрошить, не запуская его через винворд?

Как я понимаю, это реализовано через вставку объекта (Package)

Но как при открытии запустить приаттаченный файл на выполнение?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

ms office sploit

CVE-2012-0158
http://www.securelist.com/en/analysis/204792298/The_curious_case_of_a_CVE_2012_0158_exploit
Metasploit PoC
http://www.rapid7.com/db/modules/exploit/windows/fileformat/ms12_027_mscomctl_bof

| Сообщение посчитали полезным:

да сплоитов полно для офиса, зайдите на exploit-db.com к примеру и поищите, что интересует

| Сообщение посчитали полезным: