daily pastebin goal
50%
SHARE
TWEET

Redundant Exploit Multi-Arc attack of BossaBot

MalwareMustDie Sep 8th, 2014 (edited) 437 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. # MalwareMustDie!
  2. # BossaBot v2 - Multiple Arc Exploit Attack Flow
  3.          :
  4. .text:0804A09E    push    offset aX86_64  ; Set mode to "x86_64"
  5. .text:0804A0A3    lea     eax, [ebp+buff] ; Load Effective Address
  6. .text:0804A0A9    push    eax             ; char *
  7. .text:0804A0A9               ; Push exploit strings..
  8. .text:0804A0AA    call    _strstr         ; Call Procedure
  9. .text:0804A0AF    add     esp, 10h        ; nukes.w/int 10h
  10. .text:0804A0B2    test    eax, eax        ; exec!!!
  11. .text:0804A0B4    jz      short loc_804A0D2 ; Jump if Zero (ZF=1) // go to i686...
  12. .text:0804A0B6    push    [ebp+size]
  13. .text:0804A0B9    push    ds:dword_8051B08 ; char
  14. .text:0804A0BF    push    offset aNoticeSTfTcitf ; "NOTICE %s : [EXPLOiTiNG-x86_64:-%s-]
  15. .text:0804A0C4    push    ds:fd           ; fildes
  16. .text:0804A0CA    call    sub_804941C     ; Call Procedure
  17. .text:0804A0CF    add     esp, 10h        ; Add
  18. .text:0804A0D2
  19.  
  20. .text:0804A0D2    sub     esp, 8          ; Integer Subtraction
  21. .text:0804A0D5    push    offset aI686    ; "i686"
  22. .text:0804A0DA    lea     eax, [ebp+buff] ; Load Effective Address
  23. .text:0804A0E0    push    eax             ; char *
  24. .text:0804A0E0               ; Push exploit strings
  25. .text:0804A0E1    call    _strstr         ; strings op..
  26. .text:0804A0E6    add     esp, 10h        ; Add
  27. .text:0804A0E9    test    eax, eax        ; Exec!!
  28. .text:0804A0EB    jz      short loc_804A109 ; Jump if Zero (ZF=1) // goto i586...
  29. .text:0804A0ED    push    [ebp+size]
  30. .text:0804A0F0    push    ds:dword_8051B08 ; char
  31. .text:0804A0F6    push    offset aNoticeSTfTci_0 ; "NOTICE %s : [EXPLOiTiNG-i686:-%s-]
  32. .text:0804A0FB    push    ds:fd           ; fildes
  33. .text:0804A101    call    sub_804941C     ; Call Procedure
  34. .text:0804A106    add     esp, 10h        ; Add
  35. .text:0804A109
  36.  
  37. .text:0804A109    sub     esp, 8          ; Integer Subtraction
  38. .text:0804A10C    push    offset aI586    ; "i586"
  39. .text:0804A111    lea     edx, [ebp+buff] ; Load Effective Address
  40. .text:0804A117    push    edx             ; char *
  41. .text:0804A118    call    _strstr         ; Call Procedure
  42. .text:0804A11D    add     esp, 10h        ; Add
  43. .text:0804A120    test    eax, eax        ; Logical Compare
  44. .text:0804A122    jz      short loc_804A140 ; Jump if Zero (ZF=1) // goto i486
  45. .text:0804A124    push    [ebp+size]
  46. .text:0804A127    push    ds:dword_8051B08 ; char
  47. .text:0804A12D    push    offset aNoticeSTfTci_1 ; "NOTICE %s : [EXPLOiTiNG-i586:-%s-]
  48. .text:0804A132    push    ds:fd           ; fildes
  49. .text:0804A138    call    sub_804941C     ; Call Procedure
  50. .text:0804A13D    add     esp, 10h        ; Add
  51. .text:0804A140
  52.  
  53. .text:0804A140    sub     esp, 8          ; Integer Subtraction
  54. .text:0804A143    push    offset aI486    ; "i486"
  55. .text:0804A148    lea     esi, [ebp+buff] ; Load Effective Address
  56. .text:0804A14E    push    esi             ; char *
  57. .text:0804A14F    call    _strstr         ; Call Procedure
  58. .text:0804A154    add     esp, 10h        ; Add
  59. .text:0804A157    test    eax, eax        ; Logical Compare
  60. .text:0804A159    jz      short loc_804A177 ; Jump if Zero (ZF=1)   // goto i386...
  61. .text:0804A15B    push    [ebp+size]
  62. .text:0804A15E    push    ds:dword_8051B08 ; char
  63. .text:0804A164    push    offset aNoticeSTfTci_2 ; "NOTICE %s : [EXPLOiTiNG-i486:-%s-]
  64. .text:0804A169    push    ds:fd           ; fildes
  65. .text:0804A16F    call    sub_804941C     ; Call Procedure
  66. .text:0804A174    add     esp, 10h        ; Add
  67. .text:0804A177
  68.  
  69. .text:0804A177    sub     esp, 8          ; Integer Subtraction
  70. .text:0804A17A    push    offset aI386    ; "i386"
  71. .text:0804A17F    lea     ecx, [ebp+buff] ; Load Effective Address
  72. .text:0804A185    push    ecx             ; char *
  73. .text:0804A186    call    _strstr         ; Call Procedure
  74. .text:0804A18B    add     esp, 10h        ; Add
  75. .text:0804A18E    test    eax, eax        ; Logical Compare
  76. .text:0804A190    jz      short loc_804A1AE ; Jump if Zero (ZF=1)
  77. .text:0804A192    push    [ebp+size]
  78. .text:0804A195    push    ds:dword_8051B08 ; char
  79. .text:0804A19B    push    offset aNoticeSTfTci_3 ; "NOTICE %s : [EXPLOiTiNG-i386:-%s-]
  80. .text:0804A1A0    push    ds:fd           ; fildes
  81. .text:0804A1A6    call    sub_804941C     ; Call Procedure
  82. .text:0804A1AB    add     esp, 10h        ; Add
  83.          :
  84. ;; #MalwareMustDie!
  85. @unixfreaxjp /malware/ELF]$ date
  86. Tue Sep  9 10:02:23 JST 2014
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top