Глумимся над эксплоитами с вредоносных сайтов
Покоряя просторы интернета очень легко встретить вредоносные джаваскрипты, которые не дают закрыть страницу, подгружают вирус или делают другие не хорошие действия. Обычно их создалели пытаются их както спрятать для собственного изменения или отдадки но мне всётаки хочется их поковырять.
И так, я запустил firefox под песочницей и запустил сниффер с сохранением данных в лог файл. Из браузера была отключена автомватическая загрузка картинок дабы избежать много не нужного траффика.
После этого я втечение 10 минут лазил по порносайтам xD собирая все возможные вирусы и нажимая на различные окошки. В итоге лог получился на 32 мб и я преступил к его разборке
В коде было множество вредоносных кодов, часть которых я привожу ниже:
Посмотрев логи антивируса мы видим:
Далее востанавливаем файл:
Найдя в нашем большом логе кусочек этого файла мы видим с какого адреса он был загружен и в каком месте мы подхватили сплоит:
Теперь можно расковырять этот сайт для получения других сплоитов и использовать их
=)
И так, я запустил firefox под песочницей и запустил сниффер с сохранением данных в лог файл. Из браузера была отключена автомватическая загрузка картинок дабы избежать много не нужного траффика.
После этого я втечение 10 минут лазил по порносайтам xD собирая все возможные вирусы и нажимая на различные окошки. В итоге лог получился на 32 мб и я преступил к его разборке
В коде было множество вредоносных кодов, часть которых я привожу ниже:
<script type="text/javascript">
var temp="",i,c=0,out=""; var str="60!108!105!110!107!32!114!101!108!61!34!115!116!121!108!101!115!104!101!101!116!34!32!104!114!101!102!61!34!104!116!116!112!58!47!47!118!105!112!115!105!116!101!46!119!115!47!116!101!109!112!108!97!116!101!115!47!118!105!112!115!105!116!101!47!118!105!112!115!116!121!108!101!47!118!105!112!56!52!115!116!121!108!101!115!46!99!115!115!34!32!116!121!112!101!61!34!116!101!120!116!47!99!115!115!34!32!109!101!100!105!97!61!34!115!99!114!101!101!110!34!62!";l=str.length;while(c<=str.length-1){while(str.charAt©!='!')temp=temp+str.charAt(c++);c++; out=out+String.fromCharCode(temp);temp="";}document.write(out);
</script><script> enc = "%3Cscript%20language%3D%22JavaScript%22%20charset%3D%22windows-1251%22%20src%3D%22http%3A//medianaft.ru/js/bodyclick.php%3Fid%3D2169%22%3E%3C/script%3E"; dec = unescape(enc); document.write(dec); </script>
if (navigator.cookieEnabled && under == null) {
document.write('<script language="JavaScript" src="http://goallurl.ru/get.js?user_id=1146&mode=pop&code"></script>');
}--Packet begin--
To: 192.168.1.2
From: 193.105.200.72
Protocol: TCP
Packet length: 699
Contents:
'<div id="wthvideo">';
markUp += ' <object id="objvideo" style="outline:none;" type="application/x-shockwave-flash" width="'+wthvideo.params.width+'" height="'+wthvideo.params.height+'" data="wthvideo/'+wthvideo.params.swf+'.swf">';
markUp += ' <param name="movie" value="wthvideo/'+wthvideo.params.swf+'.swf" />';
markUp += ' <param name="quality" value="high" />';
markUp += ' <param name="wmode" value="transparent" />';
markUp += ' <param name="swfversion" value="9.0.45.0" />';
markUp += ' </object>';
markUp += '</div>';
document.write(markUp);
}
function hideDiv() {
wthvideo.hideDiv();
}
onlyOnce();
--Packet end--//Browser History
//if( history.previous && history.previous != document.referrer )
// query_string += '&history=' + history.previous;
if( /*__vc_type == 'context' || */ __vc_type == 'teaser' )
document.write('<sc'+'ript type="text/javascript" src="http://' + url + '/js/' + __vc_type + '.php?partner_id=' + __vc_id + (cid ? '&cid=' + cid : '' ) + (iframe > 0 ? '&iframe=' + iframe : '' ) + query_string + (keyword ? '&keyword=' + keyword : '') + '&count=' + __vc_count + '&charset=' + __vc_charset + (__vc_type == 'teaser' ? '&format=' + __vc_bf : '') + '&hash=' + Math.random()+'"></sc'+'ript>');
else if( __vc_type == 'bodyclick' )
document.write('<sc'+'ript type="text/javascript" src="http://' + url + '/js/' + __vc_type + '.php?partner_id=' + __vc_id + (cid ? '&cid=' + cid : '' ) + (iframe > 0 ? '&iframe=' + iframe : '' ) + query_string + (keyword ? '&keyword=' + keyword : '') + ( __vc_onload ? '&onload=1' : '') + '&hash=' + Math.random()+'"></sc'+'ript>');
else if( __vc_type =
--Packet end--document.write('<sc'+'ript type="text/javascript" src="http://' + url + '/js/' + __vc_type + '.php?partner_id=' + __vc_id + (cid ? '&cid=' + cid : '' ) + (iframe > 0 ? '&iframe=' + iframe : '' ) + query_string + (keyword ? '&keyword=' + keyword : '') + '&hash=' + Math.random()+'"></sc'+'ript>');--Packet begin--
To: 192.168.1.2
From: 174.120.120.151
Protocol: TCP
Packet length: 1492
Contents:
77bb2edad2b0252f8d31fadf796215ff8dfb0d42a214513ddb5c87217614a038ac736c255ddd58071dea9790366caec8903787a0e26a104ed9be714d5ce8d551bea9cb86049897090202f23d0ea7fdedaacf0819085744811a4ce6bd50a0022b9e182a63d9e5e0d00ecb9ff057f2266157892e92&ac300=2';
else
window.location='http://www2.searchresultsdirect.com/parking.php4?domain=24on.ws®istrar=348972&keyword=24+on+dvd&eq=2f87b82d24c560efe8b5abbc9b28c61fd44725a137db8a3ff165e6dad71d02fd2ed17a7e94d18aff04b63ef60849ccc5b1007e19abf95d20688f503512fe790c02f138497c18f1b08031aee0c50593cd3dd01fbcf9f957e1b86f3d8cbee25beac3599abe73e58b3079f226b777bb2edad2b0252f8d31fadf796215ff8dfb0d42a214513ddb5c87217614a038ac736c255ddd58071dea9790366caec8903787a0e26a104ed9be714d5ce8d551bea9cb86049897090202f23d0ea7fdedaacf0819085744811a4ce6bd50a0022b9e182a63d9e5e0d00ecb9ff057f2266157892e92&ac300=2';
} catch(exception) {
document.write("This page has moved, <A HREF='http://www2.searchresultsdirect.com/parking.php4?domain=24on.ws®istrar=348972&keyword=24+on+dvd&eq=2f87b82d24c560efe8b5abbc9b28c61fd44725a137db8a3ff165e6dad71d02fd2ed17a7e94d18aff04b63ef60849ccc5b1007e19abf95d20688f503512fe790c02f138497c18f1b08031aee0c50593cd3dd01fbcf9f957e1b86f3d8cbee25beac3599abe73e58b3079f226b777bb2edad2b0252f8d31fadf796215ff8dfb0d42a214513ddb5c87217614a038ac736c255ddd58071dea9790366caec8903787a0e26a104ed9be714d5ce8d551bea9cb86049897090202f23d0ea7fdedaacf0819085744811a4ce6bd50a0022b9e182a63d9e5e0d00ecb9ff057f2266157892e92&ac300=
--Packet end--
--Packet begin--
To: 192.168.1.2
From: 174.120.120.151
Protocol: TCP
Packet length: 737
Contents:
2'>Click here</A> to go there.");
}
</script><noscript>This page has moved, <A HREF='http://www2.searchresultsdirect.com/parking.php4?domain=24on.ws®istrar=348972&keyword=24+on+dvd&eq=2f87b82d24c560efe8b5abbc9b28c61fd44725a137db8a3ff165e6dad71d02fd2ed17a7e94d18aff04b63ef60849ccc5b1007e19abf95d20688f503512fe790c02f138497c18f1b08031aee0c50593cd3dd01fbcf9f957e1b86f3d8cbee25beac3599abe73e58b3079f226b777bb2edad2b0252f8d31fadf796215ff8dfb0d42a214513ddb5c87217614a038ac736c255ddd58071dea9790366caec8903787a0e26a104ed9be714d5ce8d551bea9cb86049897090202f23d0ea7fdedaacf0819085744811a4ce6bd50a0022b9e182a63d9e5e0d00ecb9ff057f2266157892e92&ac300=2'>Click here</A> to go there.</noscript></body></html>
--Packet end--HTTP/1.1 200 OK
Server: nginx/0.7.62
Date: Sat, 01 Jan 2011 12:46:46 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'
Cache-Control: no-store, no-cache, max-age=0, must-revalidate
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
23d
<html><head><script src="http://admulti.com/javascripts/links.js" type="text/javascript"></script></head><body style='margin:0;'><script language='JavaScript' type='text/javascript'>var postRmbn_width = "900px"; var postRmbn_height = "100px"; var postRmbn_placeID = 533; document.write("<" + "script language='JavaScript' type='text/javascript' src='http://post.rmbn.ru/js/smartblock/get_code.js?n=Math.random()'" + ">" + "<" + "/script" + ">");</script><script type="text/javascript">admultiChangeLink("http://go.admulti.com/clicks/2322/829?lnk1=");</script></body></html>
0
--Packet end----Packet begin--
To: 192.168.1.2
From: 217.163.21.37
Protocol: TCP
Packet length: 1480
Contents:
url=encodeURIComponent(top.location.href);url=url.substr(0,256);rm_url+="&u="+url;}}else if(rm_tag_type=="iframe"){url=encodeURIComponent(document.referrer);url=url.substr(0,256);rm_url+="&u="+url;}}catch(e){}if(top==self){rm_url+="&r=1";}else{rm_url+="&r=0";}var rm_tag_src='<SCRIPT TYPE="text/javascript" SRC="'+rm_url+'"><\/SCRIPT>';if(rm_pop_frequency){if(rmCanShowPop(rm_pop_id,rm_pop_times,rm_pop_frequency)||rm_pop_nofreqcap){document.write(rm_tag_src);}}else{document.write(rm_tag_src);}function cookiesEnabled(){var cookieEnabled=(navigator.cookieEnabled)?true:false;if(typeof navigator.cookieEnabled=="undefined"&&!cookieEnabled){document.cookie="testcookie";cookieEnabled=(document.cookie.indexOf("testcookie")!=-1)?true:false;}return cookieEnabled;}function rmGetCookie(Name){var search=Name+"=";var CookieString=document.cookie;var result=null;if(CookieString.length>0){offset=CookieString.indexOf(search);if(offset!=-1){offset+=search.length;end=CookieString.indexOf(";",offset);if(end==-1){end=CookieString.length;}result=unescape(CookieString.substring(offset,end));}}return result;}function flashDetection(){var flash=new Object();flash.installed=false;flash.version='0.0';if(navigator.plugins&&navigator.plugins.length){for(x=0;x<navigator.plugins.length;x++){if(navigator.plugins[x].name.indexOf('Shockwave Flash')!=-1){flash.version=navigator.plugins[x].description.split('Shockwave Flash ')[1];flash.installed=true;brea
--Packet end--document.write('<scr' + 'ipt src="http://www.ad.admitad.com/js/swfobject.js" type="text/javascript"></scr' + 'ipt>');document.write('<scr' + 'ipt defer="defer" type="text/javascript">swfobject.embedSWF("http://ad.admitad.com/fbanner/d9bc4cfae7158af7419544cf38cd17?link1=http://ad.admitad.com/goto/d9bc4cfae7158af7419544cf38cd17/shuffle/b569588459/&clickTAG=http://ad.admitad.com/goto/d9bc4cfae7158af7419544cf38cd17/shuffle/b569588459/&clickTag=http://ad.admitad.com/goto/d9bc4cfae7158af7419544cf38cd17/shuffle/b569588459/", "admitad_d9bc4cfae7158af7419544cf38cd17", "240", "400", "6.0.0");</scr' + 'ipt><div id="admitad_d9bc4cfae7158af7419544cf38cd17"><a href="http://www.ad.admitad.com/goto/d9bc4cfae7158af7419544cf38cd17/shuffle/b569588459/" target="blank"><img src="http://www.ad.admitad.com/banner/d9bc4cfae7158af7419544cf38cd17/" alt="003" width="240" height="400" border="0" /></a></div>');function printSkypeStatusIcon(skypename)
{
document.write('<a href="skype:' + skypename + '?chat" style="text-decoration:none"><scr' + 'ipt type="text/javas' + 'cript">\n' +
'<!--\n' +
'document.write(\'<img src="http://mystatus.skype.com/smallicon/' + skypename + '?\'+Math.random()+\'" style="border:none;vertical-align:middle;" alt="' + skypename + '" />\')\n' +
'//-->\n' +
'</scr' + 'ipt>\n' +
'<noscr' + 'ipt><div style="display:inline"><img src="http://mystatus.skype.com/smallicon/' + skypename + '" alt="' + skypename + '" style="border:none;vertical-align:middle;" /></div></noscri' + 'pt></a>');
}/*functions to support iframe scheme */
function adv_create_area(name, frame_style, area_id)
{
var adv_pattern=new RegExp("(http://.+?)\\?");
if (document.URL.search('\\?') != -1)
{
adv_url = adv_pattern.exec(document.URL)[1];
}else{
adv_url = document.URL;
}
document.write('<ifr'+'ame id="' + name + '" scrolling="no" src="' + adv_url + '?aea=' +
--Packet end-- Посмотрев логи антивируса мы видим:
Далее востанавливаем файл:
Найдя в нашем большом логе кусочек этого файла мы видим с какого адреса он был загружен и в каком месте мы подхватили сплоит:
Теперь можно расковырять этот сайт для получения других сплоитов и использовать их
=)
- 0
- 30 июня 2011, 13:44
- admin
Комментарии (2)
RSS свернуть / развернуть