Форум АНТИЧАТ - Эксплоит, валящий последнюю Оперу 10.01

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)

- - Эксплоит, валящий последнюю Оперу 10.01 (https://forum.antichat.xyz/showthread.php?t=157376)

-=lebed=-

17.11.2009 22:26

Эксплоит, валящий последнюю Оперу 10.01

Exploit.JS.Pdfka.alz
Вот тут: _http://sony.deepfoto.eu/counter/indexo.php//indexo

У всех так или только у меня?

оlbaneс

17.11.2009 22:34

аваст заблокировал соединение с вредноносным сайтом, опера упасть не успела.

S[N]EP

17.11.2009 22:35

тоже самое аваст заблочил!

оlbaneс

17.11.2009 22:41

отключил ав, опера не упала. страница выглядела так
http://s44.radikal.ru/i106/0911/eb/95fe5651f73e.jpg

-=lebed=-

17.11.2009 22:42

Хе, Каспер как бы заблочил, но Опера свалилась всё равно...

S[N]EP

17.11.2009 22:47

отключил аваст, опера не упала, вот что отобразило:
http://s55.radikal.ru/i150/0911/c4/75eb2ffd8afd.jpg

Xcontrol212

17.11.2009 22:51

Хм,интересно У меня кис заблочил сайт,опере тоже упала

S[N]EP

17.11.2009 22:54

может вам касперский оперу валит? :D

Xcontrol212

17.11.2009 22:56

Думаю скорее всего из-за этого.С фф и Ие захожу,браузеры не падают:)

-=lebed=-

17.11.2009 22:58

Предположение что сплоит эксплуатирует багу в каком-то плагине Adobe (судя по названию: Exploit.JS.Pdfka) но у меня не стоят никакие плагины для просмотра pdf в браузере Опера.
Получается ситуация KIS+Opera 10.01 фатальна.

Зашёл повторно - Опера устояла, типо чё иммунитет приобрела? :D
P.S. Ненравится мне что-то эта ситуация... ;)

VirtuoZ

17.11.2009 23:17

у меня и без всяких сплойтов опера 10.01 частенько падает, кста, тоже kis стоит :D

upd:
вот и описание нарыл)

http://www.securelist.com/ru/descriptions/12478810/Exploit.JS.Pdfka.ti

YaesU

17.11.2009 23:19

Не упала. Пустая страница и 3 единички.

S[N]EP

17.11.2009 23:25

Цитата:

Деструктивная активность
При активации эксплоит проверяет версию Adobe Acrobat/Reader и в зависимости от этого выполняет следующие действия:
- в случае версии 8-8.1.2 эксплоит использует уязвимость, существующую из-за ошибки форматной строки в JavaScript функции "util.printf()" при обработке строк, передаваемых в качестве аргументов (CVE-2008-2992).
- для других версий эксплоит использует уязвимость переполнение буфера при вызове функции "Collab.collectEmailInfo" (CVE-2007-5659).
Эксплоит загружает файл со следующего URL: http://f7*****8080/welcome.php?id=5&hello17 На момент создания описания ссылка не работала. В случае успешной загрузки скачанный файл записывается во временный каталог текущего пользователя. %Temp%\pdfupd.exe После чего запускается на выполнение и эксплоит завершает свою работу. (взято с http://www.securelist.com/ru/descriptions/12478810/Exploit.JS.Pdfka.ti

гг, у меня акробат не устаовлен видимо поэтому опера не упала.

-=lebed=-

17.11.2009 23:30

Цитата:

Сообщение от VirtuoZ

Ясно... новая модификация Exploit.JS.Pdfka.alz
P.S. Акробат не стоит, но есть фотошоп. ;)
Кстате, загрузчик (Trojan-Downloader.JS.Major.e) тут: _http://leon-favorit.cn/images/index.php//index

S[N]EP

17.11.2009 23:38

Цитата:

Сообщение от -=lebed=-

Ясно... новая модификация Exploit.JS.Pdfka.alz
P.S. Акробат не стоит, но есть фотошоп. ;)
Кстате, загрузчик (Trojan-Downloader.JS.Major.e) тут: _http://leon-favorit.cn/images/index.php//index

http://s04.radikal.ru/i177/0911/b3/a0136eaf9c9a.jpg гг ;)

-=lebed=-

17.11.2009 23:53

содержимое регистров и часть дампа стека при падении Оперы

Код:

OPERA-CRASHLOG V1 desktop 10.01 1844 windows

Opera.exe 1844 caused exception C0000005 at address 064D7E52 (Base: 400000)



Registers:

EAX=08214408   EBX=08DF07B0   ECX=0012E664   EDX=00000000   ESI=08214408

EDI=08214408   EBP=0012E798   ESP=0012E62C   EIP=064D7E52 FLAGS=00050202

CS=001B   DS=0023   SS=0023   ES=0023   FS=003B   GS=0000

FPU stack:

40178214408000000000 40178214408000000000 00000000000000000000

401789EEB08000000000 F0E4000402020000001B 003B0012F0EC00000000

00EF0000003BEBE68AD8 EBFC00000039E1B1F008 SW=4020 CW=027F



Stack dump:

0012E62C  00000060  068F5995  0012E894  08F756B8  `...•YЏ”и.ёVч

0012E63C  08D030B0  08F756B8  065021FC  08DF07C0  °0РёVчь!PАЯ

0012E64C  0012E664  00000000  0012E798  00000001  dж.....˜з....

0012E65C  00000000  08E043A9  0821440E  00000002  ....©Cа.D!...

0012E66C  00000000  00000001  00000000  00000001  ..............

0012E67C  0650130E  0012E8C4  0821440E  0001040E  .PДи..D!..

0012E68C  068F598C  06501331  070BDEC0  08F756B8  ЊYЏ1PАЮ.ёVч

0012E69C  070BDEC0  00000000  0BD55000  00000000  АЮ......PХ.....

0012E6AC  070D1298  070D1240  06508157  00000000  ˜.@.WЃP....

0012E6BC  06318D2D  00000000  070D1240  063C036A  -Ќ1....@.j<

0012E6CC  08E093A0  00000000  070D40A0  063C037E  *“а....*@.~<

speles

17.11.2009 23:57

у меня опера не упала хотя антивирус выключен

-=lebed=-

18.11.2009 00:01

Цитата:

Сообщение от speles

у меня опера не упала хотя антивирус выключен

Удачно пробился браузер? :D

Sn@k3

18.11.2009 00:06

Цитата:

Сообщение от S[N]EP

отключил аваст, опера не упала, вот что отобразило:
http://s55.radikal.ru/i150/0911/c4/75eb2ffd8afd.jpg

значит у тебя просто 10.0 у меня тоже не обновленно

-=lebed=-

18.11.2009 00:08

Цитата:

Сообщение от Sn@k3

значит у тебя просто 10.0 у меня тоже не обновленно

Да я вижу по внешнему виду, это просто наверно десятка, у меня рюшечки и крестики на вкладках в другом месте. ;)

.dimoN.

18.11.2009 00:28

Цитата:

Сообщение от S[N]EP

отключил аваст, опера не упала, вот что отобразило:
http://s55.radikal.ru/i150/0911/c4/75eb2ffd8afd.jpg

это вообще 9я опера
================
чета мне ссыкатно, я по вашим ссылкам ходить не буду :D

mr.The

18.11.2009 00:31

Opera
Версия: 10.01
Сборка: 1844
Платформа: Win32

не упала, ибо аваст заблокировал линк, а после прочтения темы, мне ссыкотно тестить))

сорцы страницы: http://pastebin.org/54623
там грузятся два фрейма, в зависимости от плагинов:
Если магия:

Код HTML:

<iframe src="f.php"></iframe>

Если акробат:

Код HTML:

<iframe src="readme.php"></iframe>

Магия заключается в

Код HTML:

NufhxBHMlo2=KOKSzfOxeX1.exec(navigator[oJonMOLXaX10("plugins")][ZZFdaJIGsy0][oJonMOLXaX10('description')]);

                if(NufhxBHMlo2!=null && NufhxBHMlo2[1]==7+2 && NufhxBHMlo2[2]==0 && NufhxBHMlo2[3]<103+21)

.....

непонятный if..

PS. http://mrthe.name/dos/ до сих пор всех подвешивает. Opera висит под настроение, не понятно от чего зависящее.

ntldr

18.11.2009 00:33

Версия:
10.10 Beta

Сборка:
1833

Платформа:
Win32

Система:
Windows XP

Версия Java:
Sun Java Runtime Environment version 1.6

Модуль XHTML+Voice:
Плагин не загружен

Идентификация браузера:

Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10

фейл. нет ни АВ ни фаервола

Root-access

18.11.2009 00:43

Цитата:

Сообщение от ntldr

Ну а как насчёт продукции Adobe?

S[N]EP

18.11.2009 00:47

не 9 у меня опера!
http://s61.radikal.ru/i171/0911/81/2dfd746f86ea.jpg - вотЬ :)
я просто тему поставил!
---
из продукции Adobe стоит фотошоп кс 2... эксплоит ваш как я уже писал неработает у меня :)

-=lebed=-

18.11.2009 00:50

function oJonMOLXaX10(nununu) :D

mailbrush

18.11.2009 01:04

Цитата:

PS. http://mrthe.name/dos/ до сих пор всех подвешивает. Opera висит под настроение, не понятно от чего зависящее.

Опера 10.0 Ничего не виснет)

S[N]EP

18.11.2009 01:07

Цитата:

Сообщение от mailbrush

Опера 10.0 Ничего не виснет)

у меня 10.01 повисла :)

-=lebed=-

18.11.2009 01:10

Цитата:

Сообщение от mr.The

PS. http://mrthe.name/dos/ до сих пор всех подвешивает. Opera висит под настроение, не понятно от чего зависящее.

Исходники фреймов попробуй вытащить, скриптом сплоит выбирается в зависимости от плагинов, это ясно. Интересно было бы глянуть какой контент скрипты выдают.

Код:

Сайты на сервере(ReverseIP):

776607.ru [113.105.152.33]

alfafoxx.com [113.105.152.33] - фишинг атака

bizlaw-ns.org [113.105.152.33]

financial-aic.com [113.105.152.33]

hack-myspace.com [113.105.152.33]

test.acsam.eu [113.105.152.33]

www.facebook-hacking.com [113.105.152.33]

www.hack-icq.com [113.105.152.33]

www.hacked-facebook.com [113.105.152.33]

www.hacking-facebook.com [113.105.152.33]

www.newdiplom.ru [113.105.152.33]

www.vzlom-kontakt.ru [210.51.187.44] - уже анрег домена, оперативно...  :D

Ууу... да тут целый платсдарм хекконвеера :D

aqqa	18.11.2009 09:21

В моей 10.10 опере проблемы с flash, практически всегда оперу валят флеш баннеры с майл.ру и некоторые приложения из контакта...Такая же шняга была на бета версии 10...

echobyte

18.11.2009 09:36

Version information
Version
10.00

Build
1750

Platform
Win32

System
Windows XP

Java
Sun Java Runtime Environment version 1.6

XHTML+Voice
Plug-in not loaded

аутпост4 + есет4

не пробил

Fist007

18.11.2009 10:40

Запрашиваемый URL-адрес не может быть предоставлен

В запрашиваемом объекте по URL-адресу:

http://sony.deepfoto.eu/counter/indexo.
php//indexo

Обнаружена угроза:

объект заражен Exploit.JS.Pdfka.alz
Сообщение создано:
9:38:46
Антивирус Касперского 2010
Последние базы)

mr.The

19.11.2009 20:30

Решил продолжить:
Взял фф, замаскировал под оперу.
Подгрузился readme.php
http://pastebin.org/55213
Путём не сложных преобразований, видим, что там зашифрованно это - http://pastebin.org/55216
ещё немного, и мы получаем сам сплоит http://pastebin.org/55217
если честно - я в ахуе, как всё банально, а ещё больше, я в ахуе от того, что оно работает.
exe, по идее, лежит тут _ttp://sony.deepfoto.eu/counter/indexo.php/img.php?page=6, но обращаться нужно с реферером opera:config, но у меня не получилось, там с разу идёт редирект на opera:about. А когда я выключил редирект в браузере - уже не выдавалось, то, что нужно(

кстати, криптор js там динамический.

neofit

28.11.2009 20:06

Да это походу из за плагина
без фаера заходил ошибка мускула и всё!

cheater_man

02.12.2009 01:20

Даже без антивиря и файрвала оперу 9.10 не трогает :D

D1mOn

02.12.2009 01:35

Тишина...
http://s52.radikal.ru/i136/0912/75/43b1514ac9abt.jpg

Navale

02.12.2009 01:46

Кто то совсем доломал бедный сплоит )))

ixtor1

02.12.2009 01:47

Цитата:

Сообщение от -=lebed=-

содержимое регистров и часть дампа стека при падении Оперы

Код:

OPERA-CRASHLOG V1 desktop 10.01 1844 windows

Opera.exe 1844 caused exception C0000005 at address 064D7E52 (Base: 400000)



Registers:

EAX=08214408   EBX=08DF07B0   ECX=0012E664   EDX=00000000   ESI=08214408

EDI=08214408   EBP=0012E798   ESP=0012E62C   EIP=064D7E52 FLAGS=00050202

CS=001B   DS=0023   SS=0023   ES=0023   FS=003B   GS=0000

FPU stack:

40178214408000000000 40178214408000000000 00000000000000000000

401789EEB08000000000 F0E4000402020000001B 003B0012F0EC00000000

00EF0000003BEBE68AD8 EBFC00000039E1B1F008 SW=4020 CW=027F



Stack dump:

0012E62C  00000060  068F5995  0012E894  08F756B8  `...•YЏ”и.ёVч

0012E63C  08D030B0  08F756B8  065021FC  08DF07C0  °0РёVчь!PАЯ

0012E64C  0012E664  00000000  0012E798  00000001  dж.....˜з....

0012E65C  00000000  08E043A9  0821440E  00000002  ....©Cа.D!...

0012E66C  00000000  00000001  00000000  00000001  ..............

0012E67C  0650130E  0012E8C4  0821440E  0001040E  .PДи..D!..

0012E68C  068F598C  06501331  070BDEC0  08F756B8  ЊYЏ1PАЮ.ёVч

0012E69C  070BDEC0  00000000  0BD55000  00000000  АЮ......PХ.....

0012E6AC  070D1298  070D1240  06508157  00000000  ˜.@.WЃP....

0012E6BC  06318D2D  00000000  070D1240  063C036A  -Ќ1....@.j<

0012E6CC  08E093A0  00000000  070D40A0  063C037E  *“а....*@.~<

:eek: :mad: блин у меня позавчера такая же шняга была...с оперы гледел кое что потом бац...мля первый раз душил эту гадость всяко разно....

Xtrem

02.12.2009 02:02

эту ссылку не проверял, но у моей оперы свои тараканы..
после обновления с 10.0 до 10.10, при заходе на свою почту gmail, опера стала падать.. и просит отправить отчет им..
в 10.0 такого не было

Время: 08:43