1. Accueil
  2. Question et réponse
  3. Quelqu'un peut-il désobéir cet exploit?

Quelqu'un peut-il désobéir cet exploit?

2009-11-27 18 views
1

Je suis tombé sur l'exploit suivant en raison d'un avertissement de mon logiciel AV. Il provient d'un serveur de publicité diffusant des bannières sur l'un de mes sites.Quelqu'un peut-il désobéir cet exploit?

J'ai récupéré le contenu avec Wget et copié dans pastebin.

http://pastebin.com/m6fa38fac
[Attention:. Lien peut contenir des logiciels malveillants - Ne pas visiter de PC vulnérables]

S'il vous plaît noter que vous devez faire défiler horizontalement sur pastebin que le code est sur une seule ligne.

Quelqu'un peut-il découvrir ce que l'exploit fait réellement?

Merci.

Source

2009-11-27 mr-euro

+1

Assurez-vous que votre AV est opérationnel car je viens de visiter pastebin et j'ai reçu l'alerte à nouveau. –

+1

nomme les variables sous un nom normal, puis décode les caractères en ASCII, ce qui n'est pas un gros problème. demander à quelqu'un d'autre de faire le travail, c'est trop. – dusoft

+1

Je pense que vous devriez probablement envisager d'extraire le texte et de fournir sous une forme textuelle pour protéger les autres des problèmes. –

Répondre

11

Pas tout à fait, car il comprend (l'équivalent de):

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

Il utilise ensuite les minutes et secondes du temps de dernière modification du document contenant comme une clé pour décoder le tableau. Si vous ne pouvez toujours pas récupérer ce temps, nous devrons le forcer. ETA: ah, en fait, il utilise seulement le premier chiffre des minutes, et de la façon dont il l'utilise, nous pouvons supposer qu'il est supposé être 1. Cela ne laisse que soixante possibilités, et une boucle rapide révèle que le javascript significatif sort seulement pour 16 secondes.

J'ai mis le script décodé here; il va probablement aussi pinguer votre anti-virus. Résumé: il exécute des exploits contre les plugins Java, Flash et Acrobat, exécutant une charge utile de googleservice.net qui est (surprise surprise) un site d'attaque russe.

Source

2009-11-27 10:55:21 bobince

+0

Existe-t-il une sorte d'outil ou de bibliothèque qui pourrait être utilisé pour l'analyser en premier, puis simplement afficher le code résultant? –

+1

@ mr-euro: s'il vous plaît casser l'URL dans ce commentaire et l'autre par exemple. en perdant le http. Dans les commentaires, les URL sont auto-liées, et contrairement au lien pastebin c'est vraiment un lien vers un exploit en direct! – bobince

+0

Est-ce que cela n'affecte vraiment que les gens avec des versions obsolètes de plugins Java, Acrobat et Flash? Tous les navigateurs aussi? –

3

Cette ussualy travaille à imprimer de-obscurcie Code

eval = alert;

dans Firefox avec Firebug, je l'ai résolu comme ceci:

var lpsy16=lpsy; 
eval = console.log; // This line was added 
eval(lpsy+parseInt(gouy[0]));

sortie est ici: --deleted en raison du commentaire de zoidberg -

Source

2009-11-27 11:06:54 yedpodtrzitko

+0

Pouvez-vous élaborer sur la façon de le faire? Où cela serait-il inséré? –

+0

Je ne publierais pas l'URL, la dernière chose que nous voulons est que les araignées google ramassent des liens Stackoverflow pour exploiter les sites! – Zoidberg

 Questions connexes

  • Aucun problème connexe^_^