11:29
12/6/2010

Skrypty JS często są składową ataków na błędy w przeglądarkach internetowych. Z tego powodu, zainstalowane na komputerze użytkownika oprogramowanie antywirusowe często przeprowadza ich analizę, blokując zagrożenia, które potrafi zidentyfikować. Poniżej pokazujemy jak łatwo można oszukać antywirusa jeśli złośliwy kod JavaScript spakuje się jednym z packerów dostępnych chociażby w środowisku metasploit

W kontekście powyższego warto przypomnieć, że na ostatnim spotkaniu OWASP-u, Krzysiek Kotowicz dał świetną prezentację o analizie złośliwego kodu napisanego w JavaScript:

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. To może coś na temat zaciemniania kodu w perlu(jeszcze bardziej:P) http://search.cpan.org/~asavige/Acme-EyeDrops-1.55/lib/Acme/EyeDrops.pm

  2. Perla nie trzeba zaciemniać. Po tygodniu od pisania kodu już autor go nie rozumie.
    Fajny post. Już widzę całe roje TTrojanów i TWirusów ładowanych w ten sposób.

    • You made my day :D

  3. Do czego to dochodzi, żeby “wirusy” były pisane w JS. ;]

  4. mateuszu, chodzilo mu o zaciemnienie kodu w perlu..a nie kodu pisanego w perlu.. czytanie ze zrozumieniem sie klania..

  5. Wiem o co chodziło ale to bez sensu bo kodu w perlu i tak nikt nie potrafi przeczytac :p Ironia :p

  6. a’propos tego zaciemniania i rozmów o perlu -> http://bash.org.pl/612003/ ;)

  7. Jak dla mnie kod w perlu jest bardzo elegancki, jego układ dokładnie oddaje to co dany program ma robić – przykład: http://www.99-bottles-of-beer.net/language-perl-737.html :P

  8. A wykorzystanie zaciemniania na dużą skalę właśnie pojawiło się na FB w postaci złośliwej aplikacji:

    http://www.facebook.com/facetwinz?v=info#!/facetwinz

    Jeśli chcecie to zobaczyć w akcji, zachęcam, bo FB szybko to pewnie zdejmie. Działanie podobnego kodu cudnie opisał unknow w https://niebezpiecznik.pl/post/grozne-aplikacje-facebookowe/ – generalnie chodzi o zmuszenie usera do wklejenia złośliwego kodu JS do paska adresu.

  9. @Mateusz:
    ja tam sadze ze ty dalej nie zlapales o co chodzi, albo piszesz jakos tak “nie na temat” ?

  10. @Krzysztof Kotowicz. A co konkretnie robi ten kod? Nie chciałbym kliknąć gdzie nie trzeba ;). Aplikacja jeszcze nie zdjęta. Jak na razie kliknąłem na “here”. Wyskoczyło okienko z zapytaniem jakiej przeglądarki używam, wybrałem i stronka się przeładowała i cisza…. Ciekawe co złapałem ;D. A tak na poważnie to nie wiem, muszę sprawdzić…

  11. @Shamar

    Skłania cię, żebyś, naciskając odpowiednie klawisze, skopiował kod do schowka, wkleił do paska adresu i nacisnął ENTER. Co robi sam kod – nie wiem, nie analizowałem, ale pewnie zaprasza do tego samego też Twoich znajomych z FB. Prawdopodobnie to coś podobnego do aplikacji opisanej przez unknowa w linku, który podałem poprzednio.

  12. […] Deobfuskacja Java Script: Firefox i Firebug, NoScript oraz JavaScript Deobfuscator, Rhino debugger, a także SpiderMonkey, Windows Script Decoder, Jsunpack-n […]

  13. […] i internetowych. Mogliście go już poznać na spotkaniach OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę […]

  14. […] i internetowych. Mogliście go już poznać na spotkaniach OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę […]

  15. […] i internetowych. Mogliście go już poznać na spotkaniach OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: