Продолжая тему исследования разных связок я решил написать о очередном паке, который повстречался мне на MDL:
Начнем исследование с User Agent:Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)
Malzilla=>Get и получаем следующее(index_ie70b.txt):
Посмотрим на содержимое =>из кода видно, что мы получаем строку из последовательности чисел, представляющих собой коды Unicode-символов, перемешанных с сепаратором (в данном случае "EBaNG")
Send all scripts to Decoder=>Run script в окне результата получаем расшифрованный скрипт:
Как видим под данным User Agent'ом нам выдаются следующие сплойты:XMLHeapCorruption,Snapshot,Pdf
ссылка на лоадер:
ссылка на Pdf сплоит,который скачаем отсюда:
посмотрим на шеллкод:
UCS2HEX=>копируем, переходим на вкладку HEX=>ПКМ Paste as hex
Далее исследуем с другими User Agent'ами
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
MDAC,WindowsMediaEncoder,XMLHeapCorruption,WordViewerOCX,Snapshot
(index_ie6.txt,index_ie6_decoded.txt)
Opera/9.20 (Windows NT 6.0; U; en)
telnet,pdf
(index_opera.txt,index_opera_decoded.txt)
Посмотрим на пдф-ку с помощью pdfdigger
В результате получаем 2 файла,в одном-JS
Как видно пдф сплоит использует уязвимости util.printf,Collab.collectEmailInfo
Результат скана пдф-ки 7 из 20
Все файлы можна скачать тут:
Код:
89.187.51.12/48/clickMalzilla=>Get и получаем следующее(index_ie70b.txt):
Посмотрим на содержимое =>из кода видно, что мы получаем строку из последовательности чисел, представляющих собой коды Unicode-символов, перемешанных с сепаратором (в данном случае "EBaNG")
Send all scripts to Decoder=>Run script в окне результата получаем расшифрованный скрипт:
Как видим под данным User Agent'ом нам выдаются следующие сплойты:XMLHeapCorruption,Snapshot,Pdf
ссылка на лоадер:
Код:
http://89.187.51.12/48/demon/pack2/load.php?id=IE7
Код:
http://89.187.51.12/48/demon/pack2/spl_pdf_file.php
UCS2HEX=>копируем, переходим на вкладку HEX=>ПКМ Paste as hex
Далее исследуем с другими User Agent'ами
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
MDAC,WindowsMediaEncoder,XMLHeapCorruption,WordViewerOCX,Snapshot
(index_ie6.txt,index_ie6_decoded.txt)
Opera/9.20 (Windows NT 6.0; U; en)
telnet,pdf
(index_opera.txt,index_opera_decoded.txt)
Посмотрим на пдф-ку с помощью pdfdigger
Код:
pdfdigger.bat -f dd001c7680914e2ccc5be45a6f49f1c6.pdf
Как видно пдф сплоит использует уязвимости util.printf,Collab.collectEmailInfo
Результат скана пдф-ки 7 из 20
Все файлы можна скачать тут:
http://www.sendspace.com/file/1ctt5q
pass:4__xss.is/
pass:4__xss.is/