2012-11-27 - Connect the dots

Meet ProPack Exploit Pack - yes that's a lot of pack

Initial ProPack Exploit Pack announcement (20-10-2012)

------------------------------------------
Text of the Advert (click to unfold)
ProPack exploit pack - профессиональная связка в аренду на Вашем сервере.

И так, мы рады представить новый продукт на рынке - ProPack exploit pack.

"Каждый выбирает для себя что-то свое: кому то шашечки, а кому то ехать...
Мы не можем похвастаться креативным дизайном, удобством интерфейса, дополнительными гаджетами.
Минимализм в оформлении, высокое быстродействие и пробив - ключевые моменты на которые мы обращали внимание при создании нашего продукта.

Основные черты нашего продукта:

-Высочайшее быстродействие:
технология буфера, все ресурсоемкие операции выполняются в режиме пакетной пост-обработки
применение самого быстрого на сегодня SypexGeo вместо MaxMind GeoIP для определения стран посетителей
технология независимых потоков - нет необходимости введения дополнительного параметра и прогона по базе

-Высокий пробив, обусловленный:
высочайшей производительностью выдачи
малым размером файлов сплойтов и нересурсоемким js криптом
современным набором эксплойтов:

java aio - java all in one или 3 эксплойта java atomic, java byte, java 7 в одном .jar файле (не забыли и про 5ую ветку Java)
libtiff - эксплойт под Adobe Reader 8-9 веток
collab - эксплойт под Adobe Reader 6-7 веток
printf - эксплойт под Adobe Reader 7.1.0
mdac - старый добрый эксплойт, все еще дающий пробив на определенном трафике

-Возможность одновременной прогрузки нескольких .exe файлов одному потоку*:
java эксплойты и mdac были специально переписаны для обеспечения данной возможности,
можно грузить хоть 10 экзе одновременно главное чтобы все они успели докачаться

*pdf экспы пока данную возможность не поддерживают

-Многопоточность
лейте трафик в несколько потоков и грузите каждому потоку свой экзе файл/несколько экзе файлов одновременно

-Гибкая система лицензирования
система лицензирования основана на лицензионных ключах, получив ключ на 1 день, неделю, месяц или год вы можете использовать связку
на том сервере на котором данный лицензионный ключ был впервые задействован в течении того срока времени на который был выписан данный лицензионный ключ

-Система автоматических чисток
просто нажмите кнопку ReFUD в админке и для всех потоков связки будут загружены чистые файлы

-Не раскидываемся сплойтами: двойная проверка перед выдачей java (js+uag), проверка версий перед выдачей pdf

ЦЕНЫ:

80$ сутки
480$ в неделю
1800$ в месяц

ТЕСТ:

10к трафика - 20$

ЛИМИТЫ:

150к трафа в день
Большие объемы трафа в день/снятие лимитов обговариваются отдельно

Одновременно на сдачу в аренду доступно только 7 мест.
Ищем постоянных партнеров и по нахождению 7 человек подпадающих под этот критерий - уходим в приват.

Контакты:

ICQ: 646143773
Jabber: [email protected]
------------------------------------------
translated by google as : (click to unfold)
ProPack exploit pack - a professional bunch of rent on your server.

And so, we are pleased to introduce a new product in the market - ProPack exploit pack.

"Everyone chooses for themselves something of his own: who is checkered, and who is going ...
We can not boast of creative design, ease of interface, additional gadgets.
Minimalist in design, high performance and test - the key points on which we focused in creating our product.

The main features of our product:

The highest-performance:
Buffer technology, all-consuming operations are performed in batch mode, the post-processing
use the fastest today SypexGeo instead MaxMind GeoIP to determine the country of the visitor
technology independent threads - no need to introduce an additional parameter, and run on the basis of

High-breaking, due to:
highest performance issue
Small file size and sployty neresursoemkim js Krypto
modern set of exploits:

java aio - java all in one or 3 exploit java atomic, java byte, java 7 in one. jar file (do not forget about the fifth branch of Java)
libtiff - exploit for Adobe Reader 8-9 branches
collab - exploit for Adobe Reader 6-7 branches
printf - an exploit for Adobe Reader 7.1.0
mdac - good old exploit that still gives a certain breaking traffic

-Simultaneous multiple injection test. Exe files one thread *:
java exploits and mdac were specifically rewritten to provide this opportunity
can be loaded at least 10 ekze both the main thing that they all managed to Resume

* Pdf exp while this feature is not supported

-Threading
pour traffic into multiple streams and ship each thread its ekze file / multiple files simultaneously ekze

-Flexible Licensing
licensing system based on license keys, get the key for 1 day, week, month or year, you can use a bunch
on the server upon which the license key was first pressed for a time frame of which was issued this license key

-The system of automatic purge
just click ReFUD in admin and all the threads are loaded bundles clean files

-Do not weep sployty: double check before issuing java (js + uag), version check before issuing a pdf

PRICES:

$ 80 per day
$ 480 per week
$ 1800 per month

TEST:

10k traffic - $ 20

Limit:

150k cores per day
Large amounts of cores per day / withdrawal limits discussed separately

Simultaneously to lease-only 7 seats.
Looking for a permanent partner and to find 7 people fall under this criterion - we leave in private.

Contacts:

ICQ: 646143773
Jabber: [email protected]

------------------------------------------
Yesterday it was announced that domain auto-rotation will soon leave test mode for production :

Text:
------------------------------------------

В течении 2-3 дней автосмена будет работать в основном (уже не тестовом) режиме.

------------------------------------------
translated by google (and fixed by @aelsmartin )
------------------------------------------
2-3 days domain-autorotation will operate mainly (not test) mode.
------------------------------------------

And now let's see infection tree...

CVE-2012-5076 Boom...

Announced same week as all others

ProPack announced as incorporating CVE-2012-5076

So...no surprise :

CVE-2012-5076 path on ProPack EP (and Ransomware getting his clothes)

GET http://37.9.53.83/build2/serge/hxkwlqdoky.php 200 OK (text/html)
GET http://37.9.53 .83/build2/serge/hxkwlqdoky.php 200 OK (text/html)
GET http://37.9.53 .83/build2/serge/92fq59.php?j=1&k=1 200 OK (application/octet-stream)

CVE-2012-5076 in the Jar

CVE-2012-4681 Boom...

CVE-2012-4681 positive path and a new Ransomware design for botnets.fr
( Lyposit )

Out of scope : The Lyposit ransomware 508496feb09432521008902946b33d82
http://dl.dropbox.com/u/106864056/508496FEB09432521008902946B33D82.zip

CVE-2012-4681 in ProPack EP jar

CVE-2012-0507 Boom...

CVE-2012-0507 positive path on ProPack

CVE-2012-1723 (seems safe?)

CVE-2012-1723 looks like an untrapped path on the ProPack

CVE-2010-0188 Boom...

CVE-2012-0188 (AR 9.3.0) in ProPack

Pdf : 32adc9115dedb6e0e9945da2d34f8baa
http://wepawet.iseclab.org/view.php?hash=32adc9115dedb6e0e9945da2d34f8baa&type=js (escaped)

CVE-2006-0003 MDAC Boom...

CVE-2006-0003 MDAC positive path on ProPack

Landing :

One landing code

after some Malzilla manipulation : http://pastebin.com/TKJjfQZf

One ProPack landing deobfuscated

Files:

All :
http://goo.gl/ubdac

(compressed with 7z. Public pass)

In the zip

Edit to come : Some more paths if i find time to. Link to

Nice reading :
Java Exploit Code Obfuscation and Antivirus Bypass/Evasion (CVE-2012-4681) - 2012-11-15 - Security Obscurity

References on Exploit Kits ?
Common Exploit Kits 2012 Poster - 2012-11-11 Mila - Contagio
Wild Wild West - 2012-23-10 - Kahu Security
An Overview of Exploit Packs (Update 17) October 12, 2012 - 2012-10-12 Mila - Contagio

More about ProPack :
[ru] ! Underground Forum ! ProPack exploit kit, Обзор by Gooner 2012-10-26

<Edit1 27/11/12 - 09:20: Fixed translation for "автосмена"
Added link to a one month old full review on DamageLabs thx @alesmartin. />

<Edit2 27/11/12 - 10:20: Ransomware dropped looks like Lyposit variant. Thx @malekal_morte />