Kann jemand de-verschleiern dies ausnutzen?

Question

Ich kam in dem folgenden ausnutzen aufgrund einer Warnung von meiner AV-Software. Es entstand aus einem Adserver liefert Banner-Anzeigen auf einer meiner Seiten.

Ich habe den Inhalt mit Wget abgerufen und auf Pastebin kopiert.

http://pastebin.com/m6fa38fac
[Warning:. Link-Malware enthalten können - Sie aus gefährdeten PC nicht besuchen]

Bitte beachten Sie, dass Sie horizontal auf Pastebin scrollen müssen, da der Code in einer Zeile ist.

Kann jemand herausfinden, was der Exploit tatsächlich tut?

Danke.

Answer 1

Nicht ganz, denn es enthält (das Äquivalent):

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

es verwendet dann die Minuten und Sekunden der letzten Änderung der Zeit des Dokuments als ein Schlüssel enthält, um das Array zu dekodieren. Wenn Sie nicht immer noch, dass javascript:alert(document.lastModified) Zeit abrufen können wir Brute-Force müssten es.

ETA: ah, verwendet es eigentlich nur die erste Ziffer der Minuten, und von der Art und Weise sie es nutzt wir es soll erraten kann 1 werden. Das läßt nur sechzig Möglichkeiten und eine schnelle Schleife zeigt, dass sinnvoller Javascript kommt nur für 16 Sekunden.

Ich habe das decodierte Skript setzen hier ; es wird wahrscheinlich auch Ihre Anti-Virus-ping. Zusammenfassung: es läuft Exploits gegen die Java, Flash und Acrobat Plug-ins, eine Nutzlast von googleservice.net läuft das ist (was für eine Überraschung) eine russische Angriff Website

.

Answer 2

Dieses ussualy arbeitet de-verschleierten Code drucken

eval = alert;

in Firefox mit Firebug, ich löste es wie folgt aus:

var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));

Die Ausgabe ist hier: --deleted aufgrund zoidberg Kommentar -