Как это работает?

Пример действует по достаточно интересной схеме:загружается как HTML файлзагружает себя как MHTMLСам HTML файл состоит из двух блоков: первый указывает на наличие некого файла согласно стандартам MHTML иMIME, а второй блок - это HTML. Первый блок для второго является простым текстом, хотя в действительности это файл, зашифрованный в base64. Поэтому при открытии файла срабатывает блок HTML:

function Execute()
{
path=unescape(document.URL.substr(-0,document.URL.lastIndexOf(\"\")));

document.write( \'\')
}
Execute();

Немного поясню, что именно происходит. При обработке данного документа исполняется скрипт, устанавливающий новый компонент с CLSID(ClassID) 66666666-6666-6666-6666. Исполняемый код для компоненты берется из этого же файла и именно поэтому происходит определение его местоположения (переменная path). Вся разница в том, что открывается он уже как MHTML. Поэтому мы можемобращаться к любому ресурсу, хранящемуся в нем (в данном случае это приложение). Его указание происходит согласно следующей форме записи:

mhtml:имя_html_файла!имя_ресурса

Что касается первого блока, то его заголовок должен выглядеть примерно следующим образом: 

MIME-Version: 1.0
Content-Location:file:///InternetExplorer.exe
Content-Transfer-Encoding: base64

В качестве значения Content-Location желательно указатьчто-нибуть приличное. Эта переменная потом появится в строке состояния Internet Explorer как окончание к тексту \"Установка компонента...\".Тем более, что именно ее необходимо указывать как имя желаемого ресурса. Далее долженидти бинарный код приложения в формате base64. 

Как можно автоматизировать процесс?

Для построения полнофункциональной универсальной утилиты необходимо создать следующую систему:

1 HTML файл, посылающий запрос на сервер с формой хранящей такие данные как:
- атакуемая почта
- содержание письма
- исполняемый файл (используйте )
- содержание HTML файла хранящего исполняемый2 PERL скрипт, создающий на сервере специально сформированный HTML файл, хранящий исполняемое ПО в base64 и то, что пользователь увидит в броузере. В base64 обычный EXE файл можно конвертировать использовав модуль MIME::Base64:

$encoded=encode_base64($decoded);
$decoded=decode_base64($encoded);

После чего отсылается письмо пользователю на компьютере которого необходимо запустить приложение. Согласитесь, весьма проста и в тоже время интересная технология.

Что это нам дает?

Такая уязвимость позволяет незаметно установить удаленному пользователю практически любое приложение. Среди таких приложений могут также быть вирусы и троянские кони. И как всегда решением является банальное запрещение загрузки ActiveX.

Есть готовый пример?

А для желающих проверить все вышесказанное предлагаетсяготовый файл main.html.Вдобавок хочу написать, что человеческая фантазия не имееетграниц. Так, совсем недавно мне попалось сообщение о том, что направив пользователя по ссылке hcp://system/DFS/uplddrvinfo.htm?file://c:main.txt можно удалить у него файл c:main.txt, если такой действительно существует. Это значит, что всегда необходимо искатьчто-то новое, поверьте оно найдется

Поздравляю Nj3l, с тем что твоя игра PROJECT вышла в финал! Желаю победы....