SHARE
TWEET

Redundant Exploit Multi-Arc attack of BossaBot

MalwareMustDie Sep 8th, 2014 (edited) 382 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. # MalwareMustDie!
  2. # BossaBot v2 - Multiple Arc Exploit Attack Flow
  3.          :
  4. .text:0804A09E    push    offset aX86_64  ; Set mode to "x86_64"
  5. .text:0804A0A3    lea     eax, [ebp+buff] ; Load Effective Address
  6. .text:0804A0A9    push    eax             ; char *
  7. .text:0804A0A9               ; Push exploit strings..
  8. .text:0804A0AA    call    _strstr         ; Call Procedure
  9. .text:0804A0AF    add     esp, 10h        ; nukes.w/int 10h
  10. .text:0804A0B2    test    eax, eax        ; exec!!!
  11. .text:0804A0B4    jz      short loc_804A0D2 ; Jump if Zero (ZF=1) // go to i686...
  12. .text:0804A0B6    push    [ebp+size]
  13. .text:0804A0B9    push    ds:dword_8051B08 ; char
  14. .text:0804A0BF    push    offset aNoticeSTfTcitf ; "NOTICE %s : [EXPLOiTiNG-x86_64:-%s-]
  15. .text:0804A0C4    push    ds:fd           ; fildes
  16. .text:0804A0CA    call    sub_804941C     ; Call Procedure
  17. .text:0804A0CF    add     esp, 10h        ; Add
  18. .text:0804A0D2
  19.  
  20. .text:0804A0D2    sub     esp, 8          ; Integer Subtraction
  21. .text:0804A0D5    push    offset aI686    ; "i686"
  22. .text:0804A0DA    lea     eax, [ebp+buff] ; Load Effective Address
  23. .text:0804A0E0    push    eax             ; char *
  24. .text:0804A0E0               ; Push exploit strings
  25. .text:0804A0E1    call    _strstr         ; strings op..
  26. .text:0804A0E6    add     esp, 10h        ; Add
  27. .text:0804A0E9    test    eax, eax        ; Exec!!
  28. .text:0804A0EB    jz      short loc_804A109 ; Jump if Zero (ZF=1) // goto i586...
  29. .text:0804A0ED    push    [ebp+size]
  30. .text:0804A0F0    push    ds:dword_8051B08 ; char
  31. .text:0804A0F6    push    offset aNoticeSTfTci_0 ; "NOTICE %s : [EXPLOiTiNG-i686:-%s-]
  32. .text:0804A0FB    push    ds:fd           ; fildes
  33. .text:0804A101    call    sub_804941C     ; Call Procedure
  34. .text:0804A106    add     esp, 10h        ; Add
  35. .text:0804A109
  36.  
  37. .text:0804A109    sub     esp, 8          ; Integer Subtraction
  38. .text:0804A10C    push    offset aI586    ; "i586"
  39. .text:0804A111    lea     edx, [ebp+buff] ; Load Effective Address
  40. .text:0804A117    push    edx             ; char *
  41. .text:0804A118    call    _strstr         ; Call Procedure
  42. .text:0804A11D    add     esp, 10h        ; Add
  43. .text:0804A120    test    eax, eax        ; Logical Compare
  44. .text:0804A122    jz      short loc_804A140 ; Jump if Zero (ZF=1) // goto i486
  45. .text:0804A124    push    [ebp+size]
  46. .text:0804A127    push    ds:dword_8051B08 ; char
  47. .text:0804A12D    push    offset aNoticeSTfTci_1 ; "NOTICE %s : [EXPLOiTiNG-i586:-%s-]
  48. .text:0804A132    push    ds:fd           ; fildes
  49. .text:0804A138    call    sub_804941C     ; Call Procedure
  50. .text:0804A13D    add     esp, 10h        ; Add
  51. .text:0804A140
  52.  
  53. .text:0804A140    sub     esp, 8          ; Integer Subtraction
  54. .text:0804A143    push    offset aI486    ; "i486"
  55. .text:0804A148    lea     esi, [ebp+buff] ; Load Effective Address
  56. .text:0804A14E    push    esi             ; char *
  57. .text:0804A14F    call    _strstr         ; Call Procedure
  58. .text:0804A154    add     esp, 10h        ; Add
  59. .text:0804A157    test    eax, eax        ; Logical Compare
  60. .text:0804A159    jz      short loc_804A177 ; Jump if Zero (ZF=1)   // goto i386...
  61. .text:0804A15B    push    [ebp+size]
  62. .text:0804A15E    push    ds:dword_8051B08 ; char
  63. .text:0804A164    push    offset aNoticeSTfTci_2 ; "NOTICE %s : [EXPLOiTiNG-i486:-%s-]
  64. .text:0804A169    push    ds:fd           ; fildes
  65. .text:0804A16F    call    sub_804941C     ; Call Procedure
  66. .text:0804A174    add     esp, 10h        ; Add
  67. .text:0804A177
  68.  
  69. .text:0804A177    sub     esp, 8          ; Integer Subtraction
  70. .text:0804A17A    push    offset aI386    ; "i386"
  71. .text:0804A17F    lea     ecx, [ebp+buff] ; Load Effective Address
  72. .text:0804A185    push    ecx             ; char *
  73. .text:0804A186    call    _strstr         ; Call Procedure
  74. .text:0804A18B    add     esp, 10h        ; Add
  75. .text:0804A18E    test    eax, eax        ; Logical Compare
  76. .text:0804A190    jz      short loc_804A1AE ; Jump if Zero (ZF=1)
  77. .text:0804A192    push    [ebp+size]
  78. .text:0804A195    push    ds:dword_8051B08 ; char
  79. .text:0804A19B    push    offset aNoticeSTfTci_3 ; "NOTICE %s : [EXPLOiTiNG-i386:-%s-]
  80. .text:0804A1A0    push    ds:fd           ; fildes
  81. .text:0804A1A6    call    sub_804941C     ; Call Procedure
  82. .text:0804A1AB    add     esp, 10h        ; Add
  83.          :
  84. ;; #MalwareMustDie!
  85. @unixfreaxjp /malware/ELF]$ date
  86. Tue Sep  9 10:02:23 JST 2014
RAW Paste Data
Top