Pull to refresh

Детективная история в стиле Java/JS

Information Security
image
Внимание: во время написания поста, сайт остаётся зараженным. Да, он может заразить Ваш Windows через дырку в Java (Возможно).

Вчера вечером, заглянув на сайт компании Связной, обнаружил там предупреждение Google об опасности заражения, естественно я отверг это и полез смотреть в исходники (Не делайте так!)
На первый взгляд там ничего опасного не оказалось. Пришлось копнуть глубже и я нашёл кое-что интересное!


Угроза оказалась спрятана в jQuery (jquery.min.js), в самом конце файла было аккуратно вставлен следующий код (Очень не советую исполнять его, там iframe!!):

image
(Код: pastebin.com/DSPzeDqd)

Порезав (Удалив немного символов с начала переменной «txt») зашифрованный текст мы уже получим не рабочий код, из которого узнаем что там скрывалось.

Он-то и является «трояном», который увидел Google. IFrame ведёт нас сайт с определённо русскими корнями — "bul0va.***" (Что-бы Вы не ругались на меня, лучше не ходите туда! Там трояны!)

Немного проанализировав исходники этого сайта нам удалось узнать что там есть ещё и java файл. Не став разбирать JavaScript код, я отправился на поиски декомпилятора Явы.
Первым что я нашёл было это приложение — http://java.decompiler.free.fr/.
Всё сработало. Я получил исходники этого jar файла с довольно интересным фишками «против слишком умных».

image
(Код основного класса: http://pastebin.ru/317047)

К сожалению, я не смог понять что и как он делает.
Предлагаю вам закончить небольшой квест и понять как он заражает машину конечного пользователя.
Tags:вирусыgoogleтрояны
Hubs: Information Security
Total votes 103: ↑88 and ↓15+73
Views2.1K

Popular right now

Top of the last 24 hours