Кто-нибудь может де-запутать этот подвиг?

Question

Я обнаружил следующий эксплойт из-за предупреждения от моего программного обеспечения AV. Он создан рекламодателем, размещающим рекламные баннеры на одном из моих сайтов.

Я получил содержимое с помощью Wget и скопировал его в pastebin.

http://pastebin.com/m6fa38fac
[Предупреждение: ссылка может содержать вредоносное ПО. Не заходите с уязвимого ПК.]

Обратите внимание, что вы должны прокручивать горизонтально на pastebin, поскольку код находится на одной строке.

Может кто-нибудь узнать, что на самом деле делает эксплойт?

Спасибо.

Answer 1

Не совсем так, как включает (эквивалент):

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

затем использует минуты и секунды последнего измененного времени документа, содержащего его, в качестве ключа для декодирования массива. Если вы все еще не можете получить это javascript: alert (document.lastModified) , нам нужно было его перебором.

ETA: ах, на самом деле он использует только первую цифру минут, и по тому, как он его использует, мы можем догадаться, что он должен быть 1 . Это оставляет только шестьдесят возможностей, и быстрый цикл показывает, что значимый JavaScript выходит только за 16 секунд.

Я разместил декодированный скрипт здесь ; это, вероятно, также пингует ваш антивирус. Описание: он использует эксплойты против плагинов Java, Flash и Acrobat, запуская полезную нагрузку с googleservice.net, который является (неожиданным сюрпризом) русским сайтом атаки.

Answer 2

Обычно это работает для печати де-запутанного кода

eval = alert;

в firefox с firebug я решил это так:

var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));

Вывод здесь: - удалено из-за комментария Зойдберга -