co je to za skript? url uman-rid...Auant

co je to za skript? url uman-rid...Auant
« kdy: 15. 09. 2021, 19:32:36 »
Je vložený klasicky v hned HEAD.


https://www.ancestry.com/uman-rid-morthy-Sir-valict-Witchd-Mac-Auant-King

Kód: [Vybrat]
function(){var Pe=0;var sl="5vaWdW.....
NJRFFEU1";var sA=window.atob(sl);var mK=sA.length;var w8=[];whil.

Co to dělá? Proč to má takhle podivné jméno  a obsah je nečitelný. a jak to detekovat případně zablokovat pokud to nedělá nic užitečného prp návštěvníka
Ani de4JS si s tim neporadí

Na webu https://www.ancestry.com/uman-rid-morthy-Sir-valict-Witchd-Mac-Auant-King.  Ale narazil jsem na to i na jinem webu, jde o podobnou smesici radoby-slov
« Poslední změna: 15. 09. 2021, 19:34:21 od mikesznovu »


Re:co je to za skript? url uman-rid...Auant
« Odpověď #1 kdy: 15. 09. 2021, 20:00:12 »
Vypada to, ze kod ma dve casti. Prvni je JS exploit pro IE a dva binarni soubory. Druha cast je persistentni bot.. 50c.

Re:co je to za skript? url uman-rid...Auant
« Odpověď #2 kdy: 15. 09. 2021, 20:12:05 »
Respektive to nebudou binarni soubory, ale binarni payload. Kazda cast pouziva jinou obfuskaci. Prvni je neco ve smyslu base64 + nejake posuny. Druha cast pouziva substituci z pole, ktere je  videt nekde v pulce. Jestli mas cas da se to v pohode rozebrat do detailu.

alex6bbc

  • *****
  • 1 639
    • Zobrazit profil
    • E-mail
Re:co je to za skript? url uman-rid...Auant
« Odpověď #3 kdy: 15. 09. 2021, 21:34:27 »
jsnice.org ten skript zkrasli, ze je citelny, ale vnitrnosti jsou stejne zalozene na tech binarnich datech, takze hafo rucni prace, kdybys to chtel rozmontovat.

zkusil bych to spustit a debugovat v nodejs.