home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / lop_detection.nasl

< prev

next >

Wrap

Text File  |  2005-01-14  |  5KB  |  140 lines

---

1. #
2. # Copyright (C) 2004 Tenable Network Security 
3. #
4. #
5.  
6. if(description)
7. {
8.  script_id(12002);
9.  script_version("$Revision: 1.5 $");
10.  
11.  name["english"] = "LOP.COM detection";
12.  
13.  script_name(english:name["english"]);
14.  
15.  desc["english"] = "
16. The remote host is using the LOP.COM program.  You should ensure that:
17. - the user intended to install LOP.COM (it is sometimes silently installed)
18. - the use of LOP.COM matches your Corporate mandates and Security Policies.
19.  
20. To remove this sort of software, you may wish to check out ad-aware or spybot. 
21.  
22. See also : http://www.safersite.com/PestInfo/l/lop_com.asp 
23.  
24. Solution : Uninstall this software
25. Risk factor : High";
26.  
27.  
28.  
29.  script_description(english:desc["english"]);
30.  
31.  summary["english"] = "LOP.COM detection";
32.  
33.  script_summary(english:summary["english"]);
34.  
35.  script_category(ACT_GATHER_INFO);
36.  
37.  script_copyright(english:"This script is Copyright (C) 2004 Tenable Network Security");
38.  family["english"] = "Windows";
39.  script_family(english:family["english"]);
40.  
41.  script_dependencies( "smb_registry_full_access.nasl");
42.  script_require_keys("SMB/registry_full_access");
43.  
44.  script_require_ports(139, 445);
45.  exit(0);
46. }
47.  
48.  
49. # start the script
50. if ( ! get_kb_item("SMB/registry_full_access") ) exit(0);
51.  
52. path[0] = "clsid\{d44b5436-b3e4-4595-b0e9-106690e70a58}";
53. path[1] = "software\classes\clsid\{162ab497-087d-4fb3-83ba-4f5159613796}";
54. path[2] = "software\classes\clsid\{80fddae7-d472-4e1f-8c3a-36b75a091c44}";
55. path[3] = "software\classes\clsid\{9b35a850-66ab-4c6d-8a66-136ecadcd904}";
56. path[4] = "software\classes\clsid\{b9c38317-4e71-4d7b-b072-3aa8dda923b3}";
57. path[5] = "software\classes\clsid\{d3119527-9be0-422c-b9fa-5143d75dfbea}";
58. path[6] = "software\classes\clsid\{d44b5436-b3e4-4595-b0e9-106690e70a58}";
59. path[7] = "software\classes\clsid\{e69e6d3b-861e-4c8b-bdd4-a8b7a61af313}";
60. path[8] = "software\microsoft\internet explorer\toolbar\{80fddae7-d472-4e1f-8c3a-36b75a091c44}";
61. path[9] = "software\microsoft\internet explorer\toolbar\{9b35a850-66ab-4c6d-8a66-136ecadcd904}";
62. path[10] = "software\microsoft\internet explorer\toolbar\{d3119527-9be0-422c-b9fa-5143d75dfbea}";
63. path[11] = "software\microsoft\internet explorer\toolbar\{ec28a907-37ac-4d9a-a928-ee2ba555a141}";
64. path[12] ="software\microsoft\windows\currentversion\explorer\browser helper objects\{162ab497-087d-4fb3-83ba-4f5159613796}";
65. path[13] ="software\microsoft\windows\currentversion\explorer\browser helper objects\{4b8edc53-6cfd-4ee4-9504-38ce7a5bc416}";
66. path[14] ="software\microsoft\windows\currentversion\explorer\browser helper objects\{7dd896a9-7aeb-430f-955b-cd125604fdcb}";
67. path[15] ="software\microsoft\windows\currentversion\explorer\browser helper objects\{b9c38317-4e71-4d7b-b072-3aa8dda923b3}";
68. path[16] ="software\microsoft\windows\currentversion\explorer\browser helper objects\{e69e6d3b-861e-4c8b-bdd4-a8b7a61af313}";
69. path[17] ="software\microsoft\windows\currentversion\installer\products\c8d617f6f8933d11581e000540386890\webpublfiles\usage";
70. path[18] = "software\microsoft\windows\currentversion\run\twquh";
71. path[19] = "software\microsoft\windows\currentversion\run\winactive";
72. path[20] = "software\microsoft\windows\currentversion\run\wstpsh";
73. path[21] = "software\microsoft\windows\currentversion\run\ybmk";
74. path[22] = "software\microsoft\windows\currentversion\uninstall\nthlllleth";
75. path[23] = "software\microsoft\windows\currentversion\uninstall\shubryochuss";
76.  
77.  
78.  
79.  
80.  
81. global_var handle;
82.  
83. include("smb_nt.inc");
84. x_name = kb_smb_name();
85. if(!x_name)exit(0);
86.  
87. _smb_port = kb_smb_transport();
88. if(!_smb_port)exit(0);
89.  
90. if(!get_port_state(_smb_port)) exit(0);
91. login = kb_smb_login();
92. pass  = kb_smb_password();
93. domain = kb_smb_domain();
94.  
95. if(!login)login = "";
96. if(!pass) pass = "";
97.  
98.           
99. soc = open_sock_tcp(_smb_port);
100. if(!soc) exit(0);
101.  
102. #
103. # Request the session
104. # 
105. r = smb_session_request(soc:soc,  remote:x_name);
106. if(!r) { close(soc); exit(0); }
107.  
108. #
109. # Negociate the protocol
110. #
111. prot = smb_neg_prot(soc:soc);
112. if(!prot){ close(soc); exit(0); }
113.  
114.  
115. r = smb_session_setup(soc:soc, login:login, password:pass, domain:domain, prot:prot);
116. if(!r){ close(soc); exit(0); }
117. uid = session_extract_uid(reply:r);
118.  
119. r = smb_tconx(soc:soc, name:x_name, uid:uid, share:"IPC$");
120. tid = tconx_extract_tid(reply:r);
121. if(!tid){ close(soc); exit(0); }
122.  
123.  
124. r = smbntcreatex(soc:soc, uid:uid, tid:tid, name:"\winreg");
125. if(!r){ close(soc); exit(0);}
126. pipe = smbntcreatex_extract_pipe(reply:r);
127.  
128. r = pipe_accessible_registry(soc:soc, uid:uid, tid:tid, pipe:pipe);
129. if(!r){ close(soc); exit(0); }
130. handle = registry_open_hklm(soc:soc, uid:uid, tid:tid, pipe:pipe);
131. if ( ! handle ) exit(0);
132.  
133.  
134. for (i=0; path[i]; i++) {
135.        key_h = registry_get_key(soc:soc, uid:uid, tid:tid, pipe:pipe, key:path[i], reply:handle);
136.        if(key_h != NULL) {security_hole(kb_smb_transport()); exit(0); }
137. }
138.  
139. close(soc);
140.