누구 든지이 악용을 비난 할 수 있습니까?

Question

AV 소프트웨어의 경고로 인해 다음 악용을 발견했습니다. 내 사이트 중 하나에 배너 광고를 제공하는 애드 서버에서 시작되었습니다.

나는 WGET로 내용을 검색하고 Pastebin에 복사했습니다.

http://pastebin.com/m6fa38fac
경고 : 링크에는 맬웨어가 포함되어있을 수 있습니다 - 취약한 PC에서 방문하지 마십시오.

코드가 모두 한 줄에 있으므로 Pastebin에서 가로로 스크롤해야합니다.

누구나 익스플로잇이 실제로 무엇을하는지 알 수 있습니까?

고맙습니다.

Answer 1

(등가)를 포함하는대로 : :

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

그런 다음 문서가 포함 된 마지막으로 변형 된 시간의 분과 초를 배열을 해독하는 키로 사용합니다. 여전히 검색 할 수 없다면 javascript:alert(document.lastModified) 우리는 그것을 무차별해야 할 시간입니다.

ETA : 아, 실제로는 분의 첫 번째 숫자 만 사용하고 사용하는 방식에서 우리는 그것이 1. 그것은 단지 60 가지 가능성 만 남기고, 빠른 루프는 의미있는 자바 스크립트만이 나옵니다. 16 초.

디코딩 된 스크립트를 넣었습니다 여기; 아마 당신의 안티 바이러스를 핑할 것입니다. 요약 : Java, Flash 및 Acrobat 플러그인에 대한 악용을 실행하여 Googleservice.net에서 뿌리를 실행하는 러시아 공격 사이트입니다.

Answer 2

이 ussualy는 de-obfuscated 코드를 인쇄하기 위해 작동합니다

eval = alert;

Firebug와 함께 Firefox에서 다음과 같이 해결했습니다.

var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));

출력은 다음과 같습니다.-Zoidberg의 의견으로 인해 삭제되었습니다.