任何人都可以对此漏洞进行去混淆吗?

时间:2009-11-27 10:33:09

标签: javascript obfuscation antivirus exploit malware

由于我的AV软件发出警告,我遇到了以下漏洞。它起源于在我的某个网站上投放横幅广告的广告服务器。

我已经使用Wget检索了内容并复制到了pastebin。

http://pastebin.com/m6fa38fac
[警告:链接可能包含恶意软件 - 请勿访问易受攻击的PC。]

请注意,您必须在pastebin上水平滚动,因为代码全部在一行上。

任何人都可以找出漏洞实际上做了什么吗?

谢谢。

2 个答案:

答案 0 :(得分:11)

不完全,因为它包括(相当于):

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

然后使用包含它的文档的最后修改时间的分钟和秒作为解码数组的键。如果您仍然无法检索到javascript:alert(document.lastModified)时间,我们就必须蛮力。

ETA:啊,实际上它只使用分钟的第一个数字,从它使用它的方式我们可以猜测它应该是1。这只剩下六十种可能性,快速循环显示有意义的javascript只出现16秒。

我已经解码了脚本here;它可能也会ping你的反病毒。简介:它运行针对Java,Flash和Acrobat插件的攻击,从googleservice.net运行有效负载,这是一个俄罗斯攻击网站(惊喜)。

答案 1 :(得分:3)

这通常用于打印去混淆的代码

eval = alert;
用firebug在firefox中,我解决了这个问题:

var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));

输出在这里: - 由于zoidberg的评论而删除 -