Pode alguém de-ofuscar esta façanha?
-
05-07-2019 - |
Pergunta
me deparei com a seguinte Exploit devido a um aviso do meu software AV. Originou-se a partir de um servidor de anúncios entregar banners em um dos meus sites.
Eu tenho recuperado o conteúdo com Wget e copiados para pastebin.
http://pastebin.com/m6fa38fac
[Warning:. Fazer a ligação pode conter malware - não visitar de PC vulnerável]
Por favor, note que você tem que rolar horizontalmente no Pastebin como o código é tudo em uma linha.
Alguém pode descobrir o que o exploit realmente faz?
Obrigado.
Solução
Não é bem assim, já que inclui (o equivalente a):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
Em seguida, usa os minutos e os segundos da última modificação do documento que contém-lo como uma chave para decodificar o array. Se você não pode ainda recuperar esse tempo javascript:alert(document.lastModified)
teríamos de força bruta-lo.
ETA: ah, na verdade, ele só usa o primeiro dígito dos minutos, e da forma como ele usa-lo, podemos supor que é suposto ser 1
. Isso é deixa apenas sessenta possibilidades, e um loop rápida revela que javascript significativa só sai por segundos 16
.
Eu coloquei o script decodificado aqui ; ele provavelmente irá também ping seu anti-vírus. Resumo: ele é executado exploits contra os plugins Java, Flash e Acrobat, executando uma carga útil de googleservice.net que é (surpresa, surpresa) um local de ataque russo
.Outras dicas
Isso funciona ussualy imprimir o código de-ofuscado
eval = alert;
no firefox com o firebug, eu resolvido assim:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
A saída é aqui: --deleted devido ao comentário de zoidberg -