AV ソフトウェアからの警告により、次のエクスプロイトに遭遇しました。それは、私のサイトの 1 つでバナー広告を配信する広告サーバーから発信されました。
Wget でコンテンツを取得し、pastebin にコピーしました。
http://pastebin.com/m6fa38fac
[警告: リンクにはマルウェアが含まれている可能性があります - 脆弱な PC からアクセスしないでください。]
コードはすべて 1 行に表示されるため、ペーストビンを水平方向にスクロールする必要があることに注意してください。
エクスプロイトが実際に何をするのか、誰でも知ることができますか?
ありがとうございました。
含まれているため、完全ではありません(同等のもの):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
次に、それを含むドキュメントの最終変更時刻の分と秒をキーとして使用して、配列をデコードします。その時間をまだ取得できない場合javascript:alert(document.lastModified)は、力ずくで処理する必要があります。
ETA: ああ、実際には分の最初の桁しか使っていません1。16これで 60 の可能性しか残されず、簡単なループで意味のある JavaScript が数秒しか出てこないことがわかります。
デコードしたスクリプトをここに置きます。おそらくアンチウイルスにもpingを実行します。概要: Java、Flash、Acrobat プラグインに対してエクスプロイトを実行し、(驚くべきことに) ロシアの攻撃サイトである googleservice.net からペイロードを実行します。
これは通常、難読化解除されたコードを出力するために機能します
eval = alert;
ファイアバグのあるFirefoxでは、次のように解決しました:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
出力は次のとおりです。 --zoidberg のコメントにより削除されました --