Интересная техника сокрытия кодов JS «вируса»

[hannimed]

Интересно. А почему они делают window['eval'], а не просто eval(var2) — какая-то особенность?
И да, прикрепите код, интересно всё-таки.

[Olegas]

Думаю что-бы дополнительно скрыться от антивирусов и их эвристических анализаторов. Изначально не видно что будет eval, он получается в процессе работы.

Код прикрепил в UPD2

[garex]

Интересное кино.

А с этим window.eval = function(arg) — это грамотно получилось.

[Daedmen]

Для фф есть аддон Javascript Deobfuscator https://addons.mozilla.org/en-US/firefox/addon/10345 который умеет показывать какой сейчас js компилится и какой выполняется. Скорее всего им тоже можно было расшифровать.

[Olegas]

Да, это расширение могло бы решить проблему. Но скрипт бы все же выполнился, что нежелательно (т.к. он сконструирован на лету ему пришлось бы пройти через eval чтобы быть «скомпилированным»).

[vilgeforce]

Есть Malzilla, но не всегда хорошо работает. Если Javascript Deobfuscator сможет нормально вскрывать сложные скрипты, тогда отключение от сети или работа в виртуалке спасет :-)

[Olegas]

Ну он поможет только получить код. Т.е. сделать то, для чего (в данном конкретном случае) я использовал отладчик и замену window.eval = function()

[vilgeforce]

Надо будет поиграться на досуге…

[dmitryrublev]

Можно отключиться от интернета — тогда ничего угрожать при деобфускации и выполнении скрипта не будет.

[dima117]

вроде firebug показывает весь выполненный js код тоже

[vilgeforce]

window['eval'] вроде не видел.

[force]

Добавлю ещё, может кому интересно будет, что сервер с вирусами находится на этом IP: 91.213.174.12, можете посмотреть, там много доменов непонятного назначения, видимо чтобы дольше не банили? А автор походе Bondarenko Dmitriy Vladimirovich, если данные не левые.

ЗЫ: Если желания хватит, то расскажу, как мы этот троян быстренько грохнули, чтобы потом выяснять, откуда он вообще взялся.

[force]

Написал пост, иначе история была бы не полной © :)

[yevgeny]

Такое в jQuery 1.3 использовалось для обработки нестандартного джейсона (JSON по спецификации должен везде иметь двойные кавычки):
if ( type == "json" ) data = window["eval"]("(" + data + ")");


[egorinsk]

Ха. теперь вирусописатели будут проверять typeof(window.eval), или как там.

[Olegas]

Безтолку. В обоих случаях он function. Да и зачем? Ну узнал вирус что eval заменен, оригинальный та негде получить уже.

[myiworm]

узнать что заменён и не выполнить — с целью запутать.

[Olegas]

А как еще он сможет свои деструктивные функции выполнить кроме как через eval? Эффект достигнут (с)

[myiworm]

почему деструктивные? зачастую там простой ифрейм, который прячут. определили что подменён евал — дали другой урл, реверсер ушел по неверному пути.

[Olegas]

Тогда код должен быть в чистом виде, не закодированный.

[egorinsk]

Определить подмену можно, так как одно ждело функция а другое — native code-функция.

[Olegas]

А расскажите пожалуйста как, интересно.
typeof() в обоих случаях честно говорит 'function'

[egorinsk]

1) window.eval.toString()
2) Посмотреть window.eval.prototype и .constructor

[razetdinov]

fakeEval = function () { debugger; };
fakeEval.prototype = eval.prototype;
fakeEval.toString = function () { return 'function eval() { [native code] }' };
eval = fakeEval;

[egorinsk]

Function.toSource() забыли :)

А если так сделать: var decodeKey = eval('… '); и этим decodeKey расшифровывать тело вируса? Если вы подмените eval, он например, неправильно расшифруется и ничего не произойдет.

А еще можно, например, для расшифровки использовать куски ДОМа, который исседователь при расшифровке не скопирует :) А еще выкачивать вирус по кускам АЯКС-запросами :)

[tenshi]

создать ифрейм и взять эвал из него

[egorinsk]

Да вы тут все вирусописатели я смотрю!

[aspect]

на подопечном сайте был встроен троян который был обфускейчен не меньше десяти раз, через алерты прогнал — оказался банальный iframe

[myiworm]

Вы на это извращение гляньте:
pastebin.com/f3cc7e96d

[Olegas]

Да… мне достался совсем даже не закодированный экземпляр =)

[esenin]

Жесть, рульный «Hello World!»

[ColorFlow]

> определял браузер, установленные плагины и прочую интересную для дальнейших
> действий информацию (включена ли Java, язык системы (?)).
> Далее, в соответствии с полученными данными, формировался URL
> для получения дальнейшего скрипта, который, в свою очередь, рендерил
> на страницу наиболее подходящий для данной конфигурации эксплойт

user_pref(«Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_1; en-us) AppleWebKit/531.9 (KHTML, like Gecko) Version/4.0.3 Safari/531.9»);
спасёт отца русской демократии от злодейского «определителя»

[Olegas]

Нет, не так, а вот так: «navigator.plugins», так «window.navigator.javaEnabled», так «navigator.mimeTypes[»video/x-ms-wmv"].enabledPlugin" и вот так «opera.buildNumber()»

[ColorFlow]

чего-чего?!

[ColorFlow]

ок. а куда и как эти «navigator.plugins», так «window.navigator.javaEnabled» писать?

[Olegas]

Их заполняет сам user-agent (и сами плагины). И никто со стороны им этим заниматься не запретит.

[Olegas]

Это куски кода, которые занимались определением того, какой эксплоит подсунуть данному пользователю.

Или имелось ввиду, что надо работать на Mac под Safari и тогда никакие вирусы не страшны =)?

[tipok]

Блин, даже дырку WindowsMediaPlayer под Firefox используют.

[BaBL]

Значит надо как-то запустить неформатированный код и при этом ничего вредного не словить. Как?

под линуксом?

[Olegas]

Да, можно. Но хотелось прямо здесь и сейчас =)
Можно просто отключить сеть на самом деле.

А еще хотелось под IE, т.к. изначально коллега словил вирус под ним.

[Marshalkin]

Ребят, ну сколько можно?! Писать СЛОВИТЬ и ВПОЙМАТЬ безграмотно!
Извините, если задел чьи-то чувства, просто глаз режет…

[mitrichlab]

base64_deOcde >> base64_deCode
опечатка

[nojoke]

Альтернативный сервис по проверке сайта на вирусы http://www.secbot.org/