(Almost) Cooked Up Some Java

Monday, February 7, 2011 Posted by Corey Harrell
I was working on a computer a few weeks ago (non-work related issue) when my antivirus scanner flagged two files. The names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two files were 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032; both files were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sun Java cache folder. The first time I came across this type of artifact I mentioned it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr post Anatomy of Drive-by Part II. This time around things were different because I didn’t have to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 antivirus software marked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2010-0094 exploit. I thought this known Java exploit was a good candidate for a sample to practice on. Not only could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample be used to learn how to analyze Java exploits with REMnux but it could also be used to try out a few recipes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst’s Cookbook. This post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files which consists of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

        * Understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder
        * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX File
        * Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File
        * Extract Java Source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File
        * Examine Java Source

Understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder

The 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files were located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following folder: Users\\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\. This folder is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default location where Java stores temporary files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files can be executed faster in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. The picture below highlights where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file location can be changed from its default value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel. Note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture was taken from a Windows XP system but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 samples came from a Windows 7 system which is why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path shown below is different than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I mentioned.

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX File

The storage location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are temporary files. The files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache folder with an extension of IDX are Java applet cache index. The index tracks information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cache folder such as: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s name, URL cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, and what appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was downloaded. The picture below shows this information stored in an index file I grabbed from my Java cache folder. Note: Skillport is a legitimate website so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information below is not malicious.

The temporary files’ indexes can be viewed using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 View button in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 button is to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Settings button in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel above). I verified this by comparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of an IDX file on my computer with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Control Panel viewer. The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDX file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 viewer.

As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache Viewer doesn’t provide all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that’s available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last modified date only shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file also contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache Viewer not showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address is present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index.

The 2371d6c6-2a6da032.idx file is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file and this index provides valuable information about where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file’s index (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was viewed using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vi text editor in REMnux).

The index file contains some valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file and some of that information is listed below.

        * Filename: 7909df6ac8d.jar
        * URL where file came from: hxxp://partersl(dot)com/new/2fcf33c783
        *File size: 23996
        * File's last modified date: Wed Oct 27, 2010 14:44:55 GMT
        * IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer where file came from: 91.213.217.35
        * Web software involved: Apache
        * Deploy request content type: application/ java archive
        * Date when file was downloaded: Sun Oct 31, 2010 21:49:25 GMT

Side note: I conducted a few tests on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download date. I'm not sure if any actions alter this date but during my testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date didn’t change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same file was accessed on a server at a later time.

Examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File

The 2371d6c6-2a6da032.idx file provided some interesting information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research could be done on some of this information such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address or domain names; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst Cookbook has a few recipes for this type of research. The index file indicated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file was an application/java archive but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information about what was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file's purpose. A closer examination was needed to find out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s purpose.

JAR files are package with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZIP file format; this means JAR files can be used for ZIP tasks such as archiving files. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 JAR file is an archival. I wanted to become more familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JD-GUI program so I downloaded it to REMnux in order to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file (I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .jar extension when I had an issue with JD-GUI not seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file).

A JAR contains a manifest which “is a special file that can contain information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files packaged in a JAR file”. The information contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manifest enables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file to be used for multiple purposes. This also means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manifest can help determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of an unknown JAR is. The picture below shows 2371d6c6-2a6da032 file’s manifest.

The 2371d6c6-2a6da032.idx file indicated this JAR was an application and if an application is bundled in a JAR file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be a way to indicate which class file within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application’s entry point. The entry point is identified using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Main-Class header and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture above shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main class is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting point for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bundled application. This information established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eight class files.

Extract Java Source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR File

The SANs Internet Storm Center posted an entry -Java Exploits- and this post discussed how Java exploits can be analyzed. To examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class files a Java decomplier is required in order to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files. I wanted to become familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jad decomplier in REMnux so I attempted to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post Java Exploits.

The class files were unzip from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR.

Jad was used to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following error was encountered.

I looked into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error and came across a forum that stated jad has issues handling Java 5.0. To get around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue I used JD-GUI to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code.

Examine Java Source Code

This post is called (Almost) Cooked Up Some Java because I wasn't successful in examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code. I wanted to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6-2 recipe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malware Analyst Cookbook to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit could be identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code. This would have completed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx and 2371d6c6-2a6da032 files. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit wasn't identified because of an error running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code. I received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error when running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code through jsunpack-n and spidermonkey (REMxun has both programs). The screenshots of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors are shown below.


The error referenced a missing semicolon but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't a semicolon missing. I even ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code through Wepawet to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result would be different but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site doesn't show if an error occurred similar to jsunpack-n. I reached out for help on this issue and someone helped identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors. The lines had string variables with values containing numbers. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers were removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error would disappear. However, removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers wasn’t a solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error so this meant I couldn’t examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java source code.

               ******** Update ********

A reader responded and pointed out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errors were due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs I was using. Spidermonkey and jsunpack-n are used to analyze Javascript instead of Java code. Thank you again to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to contact me.

I was hoping someone would see what I was doing wrong because I still wanted to know how to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code in order to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit and its payload. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any more updates to this post in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, I'll put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summary.


               ******** Update ********

At this point I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step could be to conduct a few searches using keywords from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. I performed a few quick searches using different combinations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file. I wasn’t able to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same 2371d6c6-2a6da032 file but I found ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files that had similar class file names. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search hits are listed below.

        * Oct 7, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no detections
        * Oct 29, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no detections
        * Oct 31, 2010: 2371d6c6-2a6da032 file being examined was downloaded
        * Dec 06, 2010: JAR file was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was one detection
        * Dec 23, 2010: Microsoft Malware Protection write-up on TrojanDownloader:Java/Rexec.C
        * Feb 03, 2010: 2371d6c6-2a6da032 file being examined was run through ThreatExpert and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were numerous detections

Summary

The Java cache folder is one location on a system where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be artifacts of a Java exploit. The folder’s location can be changed but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default location for Windows 7 is \\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\ while Windows XP is \\Application Data\Sun\Java\Deployment\cache\6.0.

For each temporary file downloaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Cache folder will result in two files being present. One file will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual temporary file while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second file will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java applet cache index for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file. The index tracks information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temporary file such as: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s name, URL cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file came from, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s last modified date. The temp file and its index can provide valuable information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file’s purpose and where it came from.

Now back to my examination. I was unable to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few quick Google searches I performed didn’t provide a good hit (around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of 10/31/2010) to confirm my suspicions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. However, I was able to quickly confirm my suspicions using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index file. A quick Google search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address 91.213.217.35 resulted in a hit for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malc0de database. The Malc0de database entry is shown below.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first entry was on 11/01/2010 which was one day after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JAR file was downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The database entry contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address and domain that was tracked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032.idx file.

For anyone interested here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal report about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2371d6c6-2a6da032 file. The report analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file three months after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file was downloaded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system I was looking at.

  1. Excellent post and way to be persistent! Thank you for sharing this.

  2. Corey,
    I tried to leave a comment on your About page and couldn't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment page to pop-up. I tried Firefox and IE with no luck. You might want to check it

    I liked all your explanations and pics on your blog. Keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good work. And I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of your blog: Journey into Incident Response. To me it says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s always more to learn, and reminds me of Journey to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Earth, which is kind of what forensics is, in a sense, no?

    I added your blog in my blog's LINKS page under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Forensics link.

  3. When I saw your comment for a second I thought I should delete it. ;)

    I only wanted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 About page to provide background information so I disabled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments on that page. The comment box still appears probably because of my blog's template.

    When I was trying to come up with a name for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog I settled on jIIr because investigating security incidents was new to me. I'm sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information might be helpful to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feedback I receive helps me learn more. I'm only at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of a journey that has no end (unless I switch career fields). As you said, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is always something to learn so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name jIIr will always be relevant whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r if I'm just starting out or have 20 years of experience under my belt. I never saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie or read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Journey into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Earth so I can't make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comparison.

    Thanks for checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog and adding it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links section of your blog.

  4. Anonymous

    Hi, I stumbled on your blog when I'm going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same research as you did. But from my experience this code or any java code that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author don't want to de-compile use obfuscators. The main idea of using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se obfuscators is to add additional layers of randomness not to divulge. But I know people who can read code from binaries. i.e, They open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se .class files in Hex editors and try to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code. I don't want to get to that level. But want I want to know is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention of this malware.

Post a Comment