Comments 28
Думаю, на основе UA-99222626-1 можно найти многое ;)
Похоже на то, что матёрый, олдскульный прогер решил побаловаться. Качественно запутанный скрипт с кучей типа-Hex-id — а в нём скорей хлопушка, чем злобное нечто.
Напоминает старые времена, когда вирусы писались потешить себя, а не для отъёма денег.
А кстати, в других браузерах как ЭТО себя ведёт, не смотрели?
Напоминает старые времена, когда вирусы писались потешить себя, а не для отъёма денег.
А кстати, в других браузерах как ЭТО себя ведёт, не смотрели?
На самом деле ничего сильно запутанного тут и нет, скорее всего, оригинальный код был просто обфусцирован, например, тут .
Такой матерый, что запустил это с обычного публичного хостинга с ipv4 адреса, подключил жквери где не надо, забыл добавить телефон и много всего другого.
Автор настолько матерый, что оставляет на сайте следы своего гугл аккаунта вместе с идентификаторами гугл аналитикс, видимо для того чтобы его жертвы, раз уж позвонить не могут, могли ему на почту написать куда им деньги высылать. Все правильно, ведь матерому балующемуся олдскульному прогеру нечего бояться.
«Наконец, включение jQuery свидетельствует о том, что автор — опытный веб-разработчик, особенно с учётом того, что ни один JS-скрипт на сайте не использует jQuery.»
Это сарказм или где логика?
Алсо, похоже больше не на опытного разработчика, а на школяра, стырившем скрипт где-нибудь на blackhatworld'е и иже с ним и играющего в кулхацкера.
Это сарказм или где логика?
Алсо, похоже больше не на опытного разработчика, а на школяра, стырившем скрипт где-нибудь на blackhatworld'е и иже с ним и играющего в кулхацкера.
Удивительно, что автор не знал об автоматических средствах обфускации JS. Вообще по стилю похоже на этот обфускатор (GUI к нему)
Уровень статьи в целом намекает, что автор не очень давно в интернете.
Ах, сколько еще предстоит открытий!
Ах, сколько еще предстоит открытий!
Ага, это он. Но там довольно слабые настройки обфускации выбраны, не используется controllFlowFlattening, deadCodeInjection и rc4 кодирование строковых литералов.
Скорее всего там одна из первых версий используется.
Скорее всего там одна из первых версий используется.
Доставка контента по User-Agent стандартная практика на дроп сайтах. По User-Agent определяется что именно будет показано. Разным браузерам нужны разные эксплоиты. Зачастую еще бывает цепочка редиректов в зависимости от ОС, от браузера и так далее. в итоге клиент доставляется точно на специфичную для него софтину. Все сайты подобного толка что я видел так работали.
И да, как уже упомянули, скрипт скорее всего обфусцирован каким-то стандартным обфускатором, который применил свои замороченные процедуры к довольно простому коду. Поэтому получилась такая странная синергия — простецкого кода и замороченной обфускации которая особо даже не запутывает. Просто выглядит странно. Был бы скрипт посложнее и побольше, там уже бы обфускатор раскрылся как надо.
И да, как уже упомянули, скрипт скорее всего обфусцирован каким-то стандартным обфускатором, который применил свои замороченные процедуры к довольно простому коду. Поэтому получилась такая странная синергия — простецкого кода и замороченной обфускации которая особо даже не запутывает. Просто выглядит странно. Был бы скрипт посложнее и побольше, там уже бы обфускатор раскрылся как надо.
Затем показывает модальный диалог confirm, предупреждающий пользователя о возможном заражении и звонке на горячую линию. Любопытно, что он не использует более популярное решение alert
При втором вызове alert новые браузеры Chrome добавляют галочку к окну, чтобы больше не показывать сообщения если пользователь отметил. Также при использовании alert большинство новых браузеров игнорируют это при закрытии страницы пользователем
Сколько же оригиналу этой статьи, если там Chrome 41 упоминается?
Да и убить такую вредоносную страницу можно вызвав диспетчер задач хрома (Ctrl+Alt+Esc, если не ошибаюсь).
Немного кода на Python, и можно расшифровать эти строки
Можно просто в консоль браузера вставить)
Немного кода на Python, и можно расшифровать эти строки
Дайте-ка я угадаю — "немного кода" заключалось в простом копипасте этого массива в консоль Python?
P.S. Пардон, пока читал, успели оставить комментарий с такой же догадкой.
Теги хорошие:)
Абсолютно некорректная догадка о том, что историю засоряют, чтобы back не отработал. Может и за этим тоже, но не 100000000 раз же! Этот цикл просто вешает ваш хром таким образом, чтобы он этого не смог явно отследить. Ну и остальной текст статьи на том же уровне… Уважаю питонистов, но не сажайте их писать статьи про джаваскрипт.
Сначала я предположил, что на сайте использовалась неизвестная браузерная функция генерирования речи
неизвестная, не значит невозможная
developers.google.com/web/updates/2014/01/Web-apps-that-talk-Introduction-to-the-Speech-Synthesis-API
Автору определённо необходимо изучить материал по следующим ссылкам.
ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D0%BA%D0%BE%D0%B4%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F
ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5
ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%84%D1%83%D1%81%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_(%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5)
ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D0%BA%D0%BE%D0%B4%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F
ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5
ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%84%D1%83%D1%81%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_(%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5)
Наконец, включение jQuery свидетельствует о том, что автор — опытный веб-разработчик, особенно с учётом того, что ни один JS-скрипт на сайте не использует jQuery. Здесь упоминается версия полуторалетней давности.
Как jQuery связанно с опытностью разработчика? Может он решил в процессе, что все проще и вполне реализуемо ванилой
Вероятно, автор просто забыл добавить номер телефона, чтобы его мошенническая схема действительно сработала
лол, всё просто же — какой-то школоло нашёл C00l v1R|_|S 4 5itEs, залил его на свежекупленый для этой цели DO, зарегал в паре левых однодневных партнёрок и ждёт, пока ему бабло начнёт капать, но забыл, или не знал, что надо ещё пул номеров с ботами в оффшоре завести
ну или, как вариант, просто testrun нового скрипта, тем более, там аналитика есть
Sign up to leave a comment.
Реверс-инжиниринг вредоносного мошеннического скрипта