toyama.cool.ne.jp/ranzan/primera/vaio.eml

//www.kogalu.com/関連のアーカイブを漁っていた時に見つけたものです
攻撃手法を簡単にメモとして




当時の資料はこちら
不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する - Microsoft
Automated Execution of Arbitrary CodeUsing Forged MIME Headers in Microsoft Internet Explorer - pen-testing.sans.org
当時猛威を奮ったNimdaで主に悪用されていた脆弱性のようですね

//toyama.cool.ne.jp/ranzan/primera/vaio.eml

対象のURLを開くと電子メールのようですが、BASE64でエンコードされた添付ファイルが存在しています（画像では見切れていますが）
またその添付ファイルのnameが"free.scr"になっているのにも関わらずContent-Typeが"audio/x-wav;"に設定されており、メールを開いただけで実行させようとしていることが分かります

BASE64を復号化したものはこちら

冒頭の"MZ"や"This program cannot be run in DOS mode."の記載から、実行ファイル形式であると推測できます

デバッガで開くと中身はこんな感じです

MS01-020の脆弱性が残っている環境でこのURLを開いてしまった場合

1. 勝手に添付ファイルの"free.scr"を実行（中身は上記の通り）
2. //toyama.cool.ne.jp/ranzan/primera/adult.vbsをダウンロードしC:\windows.vbsとして保存
3. 保存したC:\windows.vbsを実行
4. "free.scr"を削除

という挙動となります
なお~/adult.vbsはアーカイブに存在していなかったためその後の挙動は不明です