JavaScript Trojaner Sezieren

Es bettet Ссылка , und dies ist die Zeile, wo Sie es sehen können:

Sie sehen, wie jedes ungerade Zeichen, wenn es aus dieser Zeichenfolge ausgewählt wird, die URL bildet. Ich habe das nicht ausgeführt, also bin ich mir nicht sicher, unter welchen Bedingungen dies geschieht, aber Sie können sehen, dass String.replace in String.gT umbenannt wurde und eine Regex gegen die Zeichen übergeben wird, die die Zeichenfolge verschleiern. Wenn Sie dieselbe Methode anwenden und ungerade Zeichen auswählen, können Sie sehen, dass ein versteckter Iframe, einige JavaScript-Ereignishandler, setAttribute usw. vorhanden sind:

So wird String.replace Aliasing:

Im Kontext dieser Funktion ist this die Zeichenfolge, für die gT aufgerufen wird, und d ist die Zeichenfolge replace . Beim Prototyp einer Zeichenfolge gibt this['replace'] die Methode replace() zurück, die dann mit den beiden Argumenten an gT aufgerufen wird. Das Ergebnis wird zurückgegeben.

Aktualisieren

Ich habe das Skript wie folgt umgestaltet:

1. Alle Aufrufe von string.gT() wurden durch ihre einfachen Formulare ersetzt.
2. Alle Variablen entfernt, die nicht referenziert sind.
3. Gave funktioniert mit einigen Common-Sense-Namen.

Das ist das Ergebnis, es sollte ziemlich klar sein, wie es jetzt funktioniert:

Es fügt der folgenden URL zu Ihrer Website einen unsichtbaren iFrame hinzu:

Die Webseite fancycake wird unter Firefox als angegriffen und bösartig markiert.

Führen Sie es in einem JavaScript-Debugger aus; Schließlich wird der Code sich selbst dekompilieren und versuchen zu starten. Ich schlage vor, die neueste Version von FireFox vielleicht auf einer Linux-Box zu verwenden, um auf der sicheren Seite zu sein.