
<P>--------------------------------------------------------------------------------------------------------</P>

<P>Title:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; nProtect:Netizen arbitrary file download and execute vulnerability<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; nProtectPersonal Web Service arbitrary file download and execute vulnerability</P>

<P>Discoverer:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; PARK, GYU TAE (<A href="mailto:saintlinu@null2root.org">saintlinu@null2root.org</A>)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Neo</P>

<P>Advisory No.:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NRVA05-04<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NRVA05-05</P>

<P>Critical:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; High critical</P>

<P>Impact:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Gain remote user's privilige</P>

<P>Where:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; From remote</P>

<P>Operating System:&nbsp; Windows Only</P>

<P>Solution:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Patched </P>

<P>Notice:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 07. 01. 2005 initiate notify<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 07. 04. 2005 Second notify<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 07. 26. 2005 Patched<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 07. 29. 2005 Disclosure vulnerability</P>

<P>Description: </P>

<P>The nProtect:Netizen and nProtectPersonal Web Service are an antivirus solutions.<BR>&nbsp;<BR>It defends user from Internet about well-known hack tools and viruses something</P>

<P>When it need update and patch itself then download from web site such as update.nprotect.net</P>

<P>that time nProtect update program, npdownv.exe, DO NOT CHECK THAT update site URL!!!</P>

<P>We can change URL, update configuration file and so on</P>

<P>But npdownv.exe DO CHECK files that downloaded from update site compressed WITH PASSWORD!!!</P>

<P>this means npdownv.exe already known password for decompress </P>

<P>I found password in npdownv.exe by REVERSE ENGINEEGERING </P>

<P>and Neo modified liveup.haz, configuration file</P>

<P>When user accees the phishing page then downloaded trojan from hacker URL</P>

<P>See following detail describe:</P>

<P>EXPLOIT NOT INCLUDED HERE</P>

<P>Related link:<BR><A href="http://www.nprotect.co.kr/service/nProtectPersonal/nprotect/npos/kor/personal_npos.html">http://www.nprotect.co.kr/service/nProtectPersonal/nprotect/npos/kor/personal_npos.html</A></P>

<P>--------------------------------------------------------------------------------------------------------</P>

<P>Special thanks for My best group <A href="mailto:Null@root">Null@root</A>. <BR>PS. I'm very sorry for poor my konglish </P>

<P>&nbsp;</P><p>__________________________________________________<br>두 유 야후!?<br>스팸때문에 짜증나세요? 야후! 메일의 스팸 차단 기술로 메일을 보호합니다 <br>http://mail.yahoo.co.kr

<img src='http://kr.recptproxy.mail.yahoo.com/updaterc?mid=4fKCNg17acsm5juzXEP9z8g--&extra=0' width=0 height=0>