Qualcuno può de-offuscare questo exploit?

Question

Mi sono imbattuto nel seguente exploit a causa di un avviso dal mio software AV. Ha avuto origine da un adserver che pubblica banner pubblicitari su uno dei miei siti.

Ho recuperato il contenuto con Wget e copiato su pastebin.

http://pastebin.com/m6fa38fac
[Avvertenza: il collegamento può contenere malware - Non visitare da PC vulnerabili.]

Nota che devi scorrere orizzontalmente su pastebin poiché il codice è tutto su una riga.

Qualcuno può scoprire cosa fa effettivamente l'exploit?

Grazie.

Answer 1

Non proprio, in quanto include (l'equivalente di):

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

utilizza quindi i minuti e i secondi dell'ultima modifica del documento che lo contiene come chiave per decodificare l'array. Se non riesci ancora a recuperare quel tempo javascript: alert (document.lastModified) dovremmo forzarlo brutalmente.

ETA: ah, in realtà usa solo la prima cifra dei minuti e dal modo in cui lo usa possiamo immaginare che dovrebbe essere 1 . Ciò lascia solo sessanta possibilità e un rapido ciclo rivela che il javascript significativo viene fuori solo per 16 secondi

Ho inserito lo script decodificato qui ; probabilmente eseguirà anche il ping del tuo antivirus. Riepilogo: esegue exploit contro i plug-in Java, Flash e Acrobat, eseguendo un payload da googleservice.net che è (sorpresa sorpresa) un sito di attacco russo.

Answer 2

Questo di solito funziona per stampare il codice offuscato

eval = alert;

in firefox con firebug, l'ho risolto in questo modo:

var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));

L'output è qui: - eliminato grazie al commento di Zoidberg -