Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: A2Corp en 9 Febrero 2012, 05:03 am


Título: Andando por ahi...
Publicado por: A2Corp en 9 Febrero 2012, 05:03 am
Buenas foreros, navegando me encontre con esta paginita que esta interesante:
Código:
http://www1.zty2.com/qpgl4p?u9eieuuj=mabe16LY6Nzl1uZY6qLJpp2lp5qg5OKWsmyLysfX56fNtcaCm6XYppemppDp57ap63CLy87ZsszZur9Y6KDQ4aLn5c7q6Z%2BV2HaywYve5aespKpgpnCXl5ampZiupp%2Bl6ZrZ3tiyppDx3d1vpmmXoovp6da3pKqUqmmYoZylrp%2Bg6OxvpmyXoZyqrKKwrJ%2BW5KbG0tOy7OHxp6em5Knf0dCi3N%2Fb5t1grWvOl9Pa6ZDb3t6csqrR0d7om9zf2raa6a3Vjpi2mpzAmat47LDcl8vW2M%2Fc4%2Bido5zU1oqnu9ao5OGimmyr3oqoudLu6OlXp26YqoqnqpzAmatnp3%2FS0Mbn3szb4N2bo5zU1oqnqpzAmato3V6Yrce2xq%2Fn58h05l0%3D
MALWARE, ABRIR CON PRECAUCIÓN


Alguno de ustedes ha visto algo similar ?
Veo que tiene un archivo javascript cifrado pero no encuentro como se descifra, alguien me puede dar una ayudadita?


Aqui dejo el principio del JS.

Código:
var zc9rvF3044alzDKJd="37278";
var v26EyNdGW15lP128M67xLPYey1DCr7="bz rav"+'"'+"{=waiouwrqaf:"+'"'+"hjaqx"+'"'+",esllaf:"+'"'+"yhafesorqgnn"+'"'+",slaf:"+'"'+"jdnfic"+'"'+",e"+'"'+"t"+'"'+",eslaf:"+'"'+"kvyddk"+'"'+",eslaf:nd-:"+'"'+"kjvjemhu"+'"'+",1id< "+'"'+":"+'"'+"fm v"+'"'+"\\=ssalc_omorpn\\>"+'"'+"\\niam\\ di vid<torp"+'"'+"\\=>"+'"'+"\\pot_omn\\vid<t\\  ssalc _omorp"+'"'+"\\=abdnuorgkcdi "+'"'+"\\sel_pot"+'"'+"\\=tfid/\\<>"+'"'+"\\  n\\>valc vid< ssomorp"+'"'+"\\=gkcab_ "+'"'+"\\sdnuordir_pot"+'"'+"\\="+'"'+"\\thgi\\>vid/\\<> n>vid/\\< d<  n\\=ssalc vi"+'"'+"\\oc_omorp\\tnetn n\\  n\\>"+'"'+"  alc vid<p"+'"'+"\\=sskcab_omorrg "+'"'+"\\sdnuol"+'"'+"\\=di\\unem_tfe>"+'"'+"\\>vid/\\<n\\   nc vid<   alacs"+'"'+"\\=ss_srenn"+'"'+"\\gniddap\\>d<t\\   nalc vimorp"+'"'+"\\=ss_ouorgkcabit sdnps<>"+'"'+"\\eltnaiD draH>irD ks\\<)2( sevs/d/\\<>nap n\\>vic vid<   alacs"+'"'+"\\=ss1wor_n    n\\>"+'"'+"\\t\\alc vid<s"+'"'+"\\=sskcolb_nac\\1    n\\>"+'"'+"id<t\\ \\=ssalc vp"+'"'+"cab_omornuorgki_nacs sdoc/\\<>"+'"'+"\\1nn\\>vidid<       v"+'"'+"\\=ssalcrenacs"+'"'+"\\redloh_\\>\\      n vid<ts"+'"'+"\\=ssalcac\\ecalp_ntatS>"+'"'+"C ksiD su :i naps< cs"+'"'+"\\=d\\1txet_na>"+'"'+"gninnacS/\\<...d/\\<>napsvi     n\\>vid<  "+'"'+"\\=ssalc rpkcab_omodnuorg_redaol sgbid/\\<>"+'"'+"\\  n\\>vvid<     c l"+'"'+"\\=ssal_redaoi "+'"'+"\\trela=ds_nacs"+'"'+"\\1sutaterht 0>"+'"'+"\\tatceted sd/\\<de    n\\>vi  \\>vid/\\<     nn\\>vid/\\<   vid<  


Título: Re: Andando por ahi...
Publicado por: Karcrack en 9 Febrero 2012, 13:49 pm
He modificado tu mensaje. Debes advertir que el enlace contiene malware ;)

Respecto al script... Debe faltar parte del código... ya que hay no hay nada que descifre...

Título: Re: Andando por ahi...
Publicado por: A2Corp en 10 Febrero 2012, 03:34 am
Perdon q no especifique.

este es el code completo, me van a tener q llamar ignorante pero como se vuelve entendible el code?


http://tinypaste.com/222d0e5a

Título: Re: Andando por ahi...
Publicado por: Karcrack en 10 Febrero 2012, 04:11 am
Sin echarle un vistazo profundo ahí si que se puede ver como ejecuta el código... en la última linea: "eval(...)"
Aún así debe faltar algo de código... ya que se llaman ciertas funciones no declaradas en el resto de basura como es : ty5SJpAK8GC.. tal vez este ofuscado el nombre dentro de la maraña de javascript :-\

Título: Re: Andando por ahi...
Publicado por: A2Corp en 10 Febrero 2012, 19:09 pm
Fuck, como quiera ya no pude rescatar los archivos por que cerraron la pagina.
Hay una forma facil de encontrar este tipo de malwares, algun google dork?


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines