Finally... Timeline Analysis Links

Tuesday, February 22, 2011 Posted by Corey Harrell 0 comments
Finally

As I’m writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first paragraph of a paper for my Masters of Science program cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only thought that keeps running through my mind is finally. I finally reached not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week of class but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week of my master’s program. In a few days I will finally complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSIA program when I submit my paper and my experience -not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge- will gradually become a distant memory.

The second thought to run through my mind was everything on my to do list. My list has been piling up over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 months and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more recent items on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of my blog posts over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few weeks. This will hopefully change once I’m done with school and a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future posts will cover some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I’m looking at including Java vulnerability exploit artifacts, my introduction to log analysis, and possibly a new crime scene camera that people are putting into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir homes.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime here are a few links about timelines.

Timeline Analysis Links

Kristinn has an excellent post about analyzing timelines which can be found here. I previously blogged about reviewing timelines with Excel (post is here) and Calc (post is here). I created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timelines using mactime and redirected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to a csv file which I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n imported into Excel. Kristinn approaches analyzing timelines with Excel a different way. Kristinn mentioned that filtering is not optimal with mactime and Excel so he uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSV output module in log2timeline to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeline. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limitations I found with Excel was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of variables you can filter on using basic filters (Calc had a higher limit but it was still only eight variables). This was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons I looked into using advanced filters, Kristinn's approach is really interesting since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSV module breaks up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description field which makes it easier to filter on using basic filters. His write-up is very informative and educational. Trying out this approach has been added to my to do list. Kristinn, thanks again for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up and sharing this information.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downsides to being state public sector employee – especially for New York state- is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of funds to attend trainings and conferences. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main reason why I like when speakers share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir conference presentation slides since it lets people who couldn’t attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference (aka me) to see some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presented material. Mandiant posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir DoD Cyber Crime 2011 presentations and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m was Rob Lee’s Super Timeline Analysis presentation. My biggest take away from Rob's slides was his research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows time rules (I was already familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r content in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides since I read Rob's post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANs forensic blog about supertimelines and volume shadow copy timelines). The Windows time rules (slides 15 and 16) outline how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Standard Information Attribute and Filename Attribute are changed by actions taken against a file. For example, you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes to a file's timestamps when it is moved locally as compared being moved to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r volume. The charts are a great reference and thank you Rob for sharing this information.
Labels: ,

(Almost) Cooked Up Some Java

Monday, February 7, 2011 Posted by Corey Harrell 4 comments
I was working on a computer a few weeks ago (non-work related issue) when my antivirus scanner flagged two files. The names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two files were 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032; both files were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sun Java cache folder. The first time I came across this type of artifact I mentioned it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr post Anatomy of Drive-by Part II. This time around things were different because I didn’t have to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 antivirus software marked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-0094 exploit. I thought this known Java exploit was a good candidate for a sample to practice on. Not only could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample be used to learn how to analyze Java exploits with REMnux but it could also be used to try out a few recipes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst’s Cookbook. This post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files which consists of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

        * Understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder
        * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX File
        * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File
        * Extract Java Source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File
        * Examine Java Source

Understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder

The 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following folder: Users\\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\. This folder is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default location where Java stores temporary files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files can be executed faster in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. The picture below highlights where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file location can be changed from its default value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel. Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture was taken from a Windows XP system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 samples came from a Windows 7 system which is why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path shown below is different than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I mentioned.

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX File

The storage location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are temporary files. The files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache folder with an extension of IDX are Java applet cache index. The index tracks information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache folder such as: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s name, URL cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and what appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was downloaded. The picture below shows this information stored in an index file I grabbed from my Java cache folder. Note: Skillport is a legitimate website so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information below is not malicious.

The temporary files’ indexes can be viewed using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 View button in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 button is to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Settings button in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel above). I verified this by comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of an IDX file on my computer with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel viewer. The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 viewer.

As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache Viewer doesn’t provide all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that’s available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified date only shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file also contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache Viewer not showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address is present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index.

The 2371d6c6-2a6da032.idx file is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file and this index provides valuable information about where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file’s index (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was viewed using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vi text editor in REMnux).

The index file contains some valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file and some of that information is listed below.

        * Filename: 7909df6ac8d.jar
        * URL where file came from: hxxp://partersl(dot)com/new/2fcf33c783
        *File size: 23996
        * File's last modified date: Wed Oct 27, 2010 14:44:55 GMT
        * IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer where file came from: 91.213.217.35
        * Web software involved: Apache
        * Deploy request content type: application/ java archive
        * Date when file was downloaded: Sun Oct 31, 2010 21:49:25 GMT

Side note: I conducted a few tests on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download date. I'm not sure if any actions alter this date but during my testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date didn’t change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file was accessed on a server at a later time.

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File

The 2371d6c6-2a6da032.idx file provided some interesting information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research could be done on some of this information such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address or domain names; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst Cookbook has a few recipes for this type of research. The index file indicated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file was an application/java archive but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information about what was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file's purpose. A closer examination was needed to find out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s purpose.

JAR files are package with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZIP file format; this means JAR files can be used for ZIP tasks such as archiving files. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 JAR file is an archival. I wanted to become more familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JD-GUI program so I downloaded it to REMnux in order to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file (I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .jar extension when I had an issue with JD-GUI not seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file).

A JAR contains a manifest which “is a special file that can contain information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files packaged in a JAR file”. The information contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manifest enables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file to be used for multiple purposes. This also means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manifest can help determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of an unknown JAR is. The picture below shows 2371d6c6-2a6da032 file’s manifest.

The 2371d6c6-2a6da032.idx file indicated this JAR was an application and if an application is bundled in a JAR file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be a way to indicate which class file within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application’s entry point. The entry point is identified using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Main-Class header and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main class is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting point for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bundled application. This information established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eight class files.

Extract Java Source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File

The SANs Internet Storm Center posted an entry -Java Exploits- and this post discussed how Java exploits can be analyzed. To examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class files a Java decomplier is required in order to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files. I wanted to become familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jad decomplier in REMnux so I attempted to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Java Exploits.

The class files were unzip from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR.

Jad was used to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following error was encountered.

I looked into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error and came across a forum that stated jad has issues handling Java 5.0. To get around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue I used JD-GUI to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code.

Examine Java Source Code

This post is called (Almost) Cooked Up Some Java because I wasn't successful in examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code. I wanted to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6-2 recipe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst Cookbook to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit could be identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code. This would have completed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit wasn't identified because of an error running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code. I received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error when running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code through jsunpack-n and spidermonkey (REMxun has both programs). The screenshots of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors are shown below.


The error referenced a missing semicolon but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't a semicolon missing. I even ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code through Wepawet to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result would be different but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site doesn't show if an error occurred similar to jsunpack-n. I reached out for help on this issue and someone helped identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors. The lines had string variables with values containing numbers. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers were removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error would disappear. However, removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers wasn’t a solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error so this meant I couldn’t examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code.

               ******** Update ********

A reader responded and pointed out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors were due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs I was using. Spidermonkey and jsunpack-n are used to analyze Javascript instead of Java code. Thank you again to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to contact me.

I was hoping someone would see what I was doing wrong because I still wanted to know how to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code in order to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit and its payload. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any more updates to this post in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, I'll put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summary.


               ******** Update ********

At this point I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step could be to conduct a few searches using keywords from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. I performed a few quick searches using different combinations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. I wasn’t able to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same 2371d6c6-2a6da032 file but I found ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files that had similar class file names. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search hits are listed below.

        * Oct 7, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no detections
        * Oct 29, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no detections
        * Oct 31, 2010: 2371d6c6-2a6da032 file being examined was downloaded
        * Dec 06, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was one detection
        * Dec 23, 2010: Microsoft Malware Protection write-up on TrojanDownloader:Java/Rexec.C
        * Feb 03, 2010: 2371d6c6-2a6da032 file being examined was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were numerous detections

Summary

The Java cache folder is one location on a system where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be artifacts of a Java exploit. The folder’s location can be changed but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default location for Windows 7 is \\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\ while Windows XP is \\Application Data\Sun\Java\Deployment\cache\6.0.

For each temporary file downloaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder will result in two files being present. One file will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual temporary file while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second file will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java applet cache index for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file. The index tracks information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file such as: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s name, URL cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s last modified date. The temp file and its index can provide valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s purpose and where it came from.

Now back to my examination. I was unable to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few quick Google searches I performed didn’t provide a good hit (around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of 10/31/2010) to confirm my suspicions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. However, I was able to quickly confirm my suspicions using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file. A quick Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 91.213.217.35 resulted in a hit for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malc0de database. The Malc0de database entry is shown below.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first entry was on 11/01/2010 which was one day after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file was downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The database entry contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address and domain that was tracked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx file.

For anyone interested here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal report about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file. The report analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file three months after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I was looking at.

Labels: , ,
Subscribe to: Posts (Atom)