swf decompiled

[villy]

explt взят от сюду

/rf/index.php
/rf/repeatWas.pdf
/rf/fromFactLooks.swf
/rf/update.php?id=6

Malicious sites is hosted on 3 domain including:
cazkafuq.cn
jagbibiv.cn
zekxowiv.cn

ет до 9.115

            var _loc_1:String = "4657530825....
            var _loc_2:String = "4657530825....
            var _loc_3:String = "4657530825....
            var _loc_4:String = "4657530825....
            var _loc_5:String = "4657530825....
            var _loc_6:String = "4657530825....
            var _loc_7:String = "4657530825....
            var _loc_8:String = "4657530825....
            var _loc_9:String = "4657530825....
            var _loc_10:String = "465753082....
            var _loc_11:String = "465753082....
            var _loc_12:String = "465753082....
            var _loc_14:* = Capabilities.playerType;
            var _loc_15:* = Capabilities.version;
            if (_loc_14 == "PlugIn")
            {
                if (_loc_15 == "WIN 9,0,115,0") _loc_13 = _loc_6;
                if (_loc_15 == "WIN 9,0,16,0") _loc_13 = _loc_5;
                if (_loc_15 == "WIN 9,0,28,0") _loc_13 = _loc_4;
                if (_loc_15 == "WIN 9,0,45,0") _loc_13 = _loc_3;
                if (_loc_15 == "WIN 9,0,47,0") _loc_13 = _loc_1;
                if (_loc_15 == "WIN 9,0,64,0") _loc_13 = _loc_2;
            }
            if (_loc_14 == "ActiveX")
            {
                if (_loc_15 == "WIN 9,0,115,0") _loc_13 = _loc_11;
                if (_loc_15 == "WIN 9,0,16,0") _loc_13 = _loc_10;
                if (_loc_15 == "WIN 9,0,28,0") _loc_13 = _loc_9;
                if (_loc_15 == "WIN 9,0,45,0") _loc_13 = _loc_8;
                if (_loc_15 == "WIN 9,0,47,0") _loc_13 = _loc_12;
                if (_loc_15 == "WIN 9,0,64,0") _loc_13 = _loc_7;
            }

в архиве сплоит и разпакованый сплоит.

enjoy.

 

[Mr.Di]

чем- как распаковывал?

 

[villy]

http://www.sothink.com/product/flashdecompiler/download.htm

этим.
только выключайте просмтор файлов ,ну и с hex2bin эт ручками не проблема зделать

 

[Mr.Di]

странна что сотик раскрыл, пробовал на старых билдах, ему побарабану было.

 

[DeusTirael]

только выключайте просмтор файлов

Где это ? И вобще расскажи куда там нажимать, ато не пойму хоть убей =\

 

[lisa99]

Где это ?

http://www.securelist.com/ru/weblog/207758..._dlya_Shockwave

здесь кое-что с картинками декомпилятора и логикой внедрения эксплойта

==========

рекламируют на хак-инфо
Phoenix Exploits Kit (300 баксовв) - в состав которого входит
"9)FLASH 10 - новенький эксплойт пробивает системы с установленным Flash Player версий 10.0.12.36 и 10.0.22.87"

 

[DeusTirael]

"9)FLASH 10 - новенький эксплойт пробивает системы с установленным Flash Player версий 10.0.12.36 и 10.0.22.87"

Результатов проверки нет \= а написать можно что угодно.

 

[Exmanoize]

да этот эксп в пабе, и не дает хорошего пробива.
он не все бьет.
Меня пробивает на ура.
а по трафу дает 1%.
валит всех до <=10.22 но файл не прогружается.
поэтому и цена пака у него 300$.
нормальный флеш 10 имхо не меньше 5к$.

 

[lisa99]

сеня пробивает на ура.

что есть "сеня"?

не меньше 5к$.

серьезно?

 

[Exmanoize]

что есть "сеня"?

* Меня
извиняюсь, по клаве не попадаю


думаю больше 5к, намного.

 

[DeusTirael]

Exmanoize
Ну так выложи под 10ку то что в пабе, поковыряемсо, поправим мб.

 

[alexudakov]

Exmanoize, а вот не надо гнать что файл у меня не прогружается )
И цена в 300$ обусловлена вовсе не качеством, а желанием захватить лидерство на рынке.
С твоей элеанорой не сравнивали, но dmitry777 продавец трафика с соседнего форума тестил, пробив по его юсе составил 5%, на фрагусе, либерти и унике было меньше. На лаки 7%.
Проверка не была пройдена ввиду того что потерялся человек кто собирался криптовать флеш и пдф сплойты. Но связка до сих пор лежил у проверяющего хакер.ру.
Щас взялся плотно за крипт свф и пдф своими руками, тут было верно подмечено что лучший способ криптануть флешку это впрыскивать содержимое флешки в лоадер из яваскрипта, и эта идея уже мною реализованна Как закончу с пдфом начну продажи и не за 300$
СЕЙЧАС СВЯЗКА НЕ ПРОДАЕТСЯ.

P.S. С тем что сплойт не добавляет особого пробива, согласен.
To all, как сейчас не знаю, но раньше сплойт этот лежал в паблике на exploite.

 

[GOONER]

Подскажите ,если не сложно ,что делать после извлечения ActionScript Sothic' oм ?

 

[lisa99]

лучший способ криптануть флешку

любопытно.
но это если флеш лежит на собственном ресурсе.

а если говорить о флеши вообще - лучшая криптовка- это сумма хорошо известных методов - шейкинг, хайдинг, обфускация
это мнение флешеров...

GOONER- будь конкретней

 

[GOONER]

Конкретней- достал я Action Script ,что делать дальше чтоб добраться к url???

 

[Mr.Di]

думай)

 

[GOONER]

Да вот думал :bang: ........и решил тут спросить.....Надеюсь на помощь... :baby: