Sweet Orange landings have changed around the 15th of December from something like :
http://bigromeguide .com/wHOies?tMNdb=37
or
http://hwdcommunicating .pro/gsziXO?PDBbp=45
or
http://haztalansrayail.myftp .org:443/KsnEPR?coMgL=19
pushing a standard PE
to something like :
http://nutrientcenters .biz/platz_login/login1/tools/credits.php?sitemap=601&computer=37&health=779&demo=37&edgybg=160
or
http://dimtarhafryz.sytes .net/movies/loginflat/admincp/test.php?time=25&ubuntu=343&watch=737&family=209&community=60&story=232
or
http://nutrientcenters .biz/otto/mobile/support/credits.php?soma=863&demo=37&incest=346&christmas=188&german=51&themes=150
pushing a Xored PE (via Java ) and normal PE via PDF
XORed PE |
As i never made a "common EK's CVEs" flight over Sweet Orange (SWT), we'll take a look at that. First the text of the initial advert (2012-02-20):
------------------------------------------
Связка Sweet Orange
Сервер
Основные возможности
1) Держит большие объёмы. Сервер полностью написан на языке си, веб сервер, пхп для его работы не требуются.
При разработе использовались технологии для высоконагруженных систем. Таким образом достигается высокая скорость обработки соединений.
2) Защита от DDOS атак и автоматического скачивания эксплоитов ав.
3) Удобство инсталляции и обновления.
4) Проверка доменов и IP-адресов по блек листам. На данный момент реализована проверка через scan4you. При запросе возможно добавить ваши сервисы.
5) На текущей версии пробив от 15%.
Веб-интерфейс
Установка веб-интерфейса практически полностью автоматизирована
Основные возможности
1) Управление сервером через веб-интерфейс.
2) Подробная статистика, возможность посмотреть статистику по каждому поставщику трафика. Возможность просмотра статистики по
пробиву для конкретного поставщика для неавторизованных пользователей.
3) Каждому поставщику трафика можно установить свой файл.
4) Удобный механизм обновлений.
5) Информация по вашим доменам и IP-адресам.
6) Подробная справка по использованию.
Поддержка
1) Регулярные чистки, в команде несколько криптовщиков. Саппорт постоянно онлайн.
2) Постоянно ведётся работа над новыми эксплоитами и улучшением старых.
Тарифы
Цена связки 2500 WMZ + первые 2 недели чисток и смены доменов бесплатно.
Дополнительные услуги
Чистка: 1 месяц 1000 WMZ
Смена доменов
1) Ограничение по количеству (цена указана за один домен)
до 10 - 25 WMZ
от 10 до 30 - 15 WMZ
от 30 - 10 WMZ
2) Ограничение по времени (в днях)
10 - 300 WMZ
20 - 400 WMZ
30 - 600 WMZ
Смена сервера 20 WMZ
Заинтересованы в постоянных клиентах и долговременном сотрудничестве.
Контакты
sweet_orange1@jabber.org
------------------------------------------
Translated by Google as:
------------------------------------------
Sweet Orange Pack
Server
Key features
1) Hold a large amount. The server is completely written in C, a web server, php for it to work is required.
Used when designing technology for heavy systems. Thus achieves high processing speed connections.
2) Protection from DDOS attacks and automatically download exploits AB.
3) Easy installation and upgrade.
4) Check the domain and IP-addresses to black list. At this point a check is implemented scan4you. When you request may add up the services.
5) The current version of the sample from 15%.
Web Interface
The Web interface to automate
Key features
1) Management of the server via a web interface.
2) Detailed statistics, the ability to see the statistics for each supplier of traffic. The ability to view statistics
Breaking for a particular vendor to unauthorized users.
3) Each supplier of traffic you can set your file.
4) Convenient updates.
5) Information on your domain and IP-addresses.
6) Detailed information on the use.
Support
1) Regular cleaning team several kriptovschikov. Sapport constantly online.
2) We are constantly working on new exploits and improving old ones.
Tariffs
Price pack 2500 WMZ + first 2 weeks of cleansing and change the domain for free.
Additional services
Cleaning: 1 month 1000 WMZ
Changing Domains
1) Limitations on the number (the price is for one domain)
10 - 25 WMZ
10 to 30 - 15 WMZ
from 30 - 10 WMZ
2) The time limit (in days)
10 - 300 WMZ
20 - 400 WMZ
30 - 600 WMZ
Changing the server 20 WMZ
Interested in regular customers and long-term cooperation.
Contacts
sweet_orange1@jabber.org
------------------------------------------
Login Screen
Sweet Orange Login Screen (2012-11-20) |
One pass:
200 OK (text/html)
One SWT landing (2012-12-26) |
GET http://nutrientcenters .biz/otto/mobile/support/fliFiWJM
200 OK (application/pdf) 1a5367b21bb4f548798d7ac44cc079cd (wepawet win)
GET http://nutrientcenters .biz/otto/mobile/support/WTPsjof
200 OK (application/x-java-archive) 4e8971f7b70850a810aed3c6ff32b492
Nicely tagged by VirusTotal |
GET http://nutrientcenters .biz/otto/mobile/support/MbBOA
200 OK (application/x-java-archive) 842b852ac19e87f27ca273046db6832a
GET http://nutrientals .org/webapp.php?space=403&oreilly=4&time=606&groupsn=171&watch=359&atom=518&crack=604&crime=209&meta=459&openparadise1=552
200 OK (application/octet-stream)
CVE-2012-5076 in Sweet Orange |
Part of CVE-2012-5076 in WTPsjof.jar |
CVE-2012-0507 Successful Path on SWT |
CVE-2012-1723 Successful Path on SWT |
CVE-2012-4681 Path on SWT |
CVE-2011-3544 positive Path |
XORing ?
XORing part of MbBOA.jar spotted by Chris Wakelin |
CVE-2010-0188 :
CVE-2010-0188 Path |
fliFiWJM 200 OK (application/pdf) 1a5367b21bb4f548798d7ac44cc079cd (wepawet win)
Part of Wepawet Analysis |
Part of Wepawet Analysis |
Checked also but seems safe :
Mdac, CVE-2011-0611, CVE-2011-3402
Payload ?
44b1bf6f39bb13e08603a783559cf975 Citadel - home was : http://enginewreck .biz/gate.php - 178.49.172.86
Files ?
Zip content |
http://goo.gl/Np7mp (Zipped with 7z with public password)
More about Sweet Orange :
[ru] Underground Forum Thread on Damage Lab- 2012-04-04 - Aels - Damage Lab
CVE-2012-4681 - Связка Sweet Orange - 2012-08-30
References on Exploit Kits ?
Common Exploit Kits 2012 Poster - 2012-11-11 Mila - Contagio
Wild Wild West - 2012-23-10 - Kahu Security
An Overview of Exploit Packs (Update 17) October 12, 2012 - 2012-10-12 Mila - Contagio
Common Exploit Kits 2012 Poster - 2012-11-11 Mila - Contagio
Wild Wild West - 2012-23-10 - Kahu Security
An Overview of Exploit Packs (Update 17) October 12, 2012 - 2012-10-12 Mila - Contagio