Внимание: во время написания поста, сайт остаётся зараженным. Да, он может заразить Ваш Windows через дырку в Java (Возможно).
Вчера вечером, заглянув на сайт компании Связной, обнаружил там предупреждение Google об опасности заражения, естественно я отверг это и полез смотреть в исходники (Не делайте так!)
На первый взгляд там ничего опасного не оказалось. Пришлось копнуть глубже и я нашёл кое-что интересное!
Угроза оказалась спрятана в jQuery (jquery.min.js), в самом конце файла было аккуратно вставлен следующий код (Очень не советую исполнять его, там iframe!!):
(Код: pastebin.com/DSPzeDqd)
Порезав (Удалив немного символов с начала переменной «txt») зашифрованный текст мы уже получим не рабочий код, из которого узнаем что там скрывалось.
Он-то и является «трояном», который увидел Google. IFrame ведёт нас сайт с определённо русскими корнями — "bul0va.***" (Что-бы Вы не ругались на меня, лучше не ходите туда! Там трояны!)
Немного проанализировав исходники этого сайта нам удалось узнать что там есть ещё и java файл. Не став разбирать JavaScript код, я отправился на поиски декомпилятора Явы.
Первым что я нашёл было это приложение — http://java.decompiler.free.fr/.
Всё сработало. Я получил исходники этого jar файла с довольно интересным фишками «против слишком умных».
(Код основного класса: http://pastebin.ru/317047)
К сожалению, я не смог понять что и как он делает.
Предлагаю вам закончить небольшой квест и понять как он заражает машину конечного пользователя.