这是一个创建于 3596 天前的主题,其中的信息可能已经有所发展或是发生改变。
打开一个网址,卡巴报毒,是个js文件,代码古怪的很:
$=~[];
$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};
$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+......
没认出来是啥意思
$=~[];
$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};
$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+......
没认出来是啥意思
第 1 条附言 · 2015-01-23 02:27:32 +08:00
搜索还发现杀软对这个木马报毒了:
ALYac,Ad-Aware,AhnLab-V3,BitDefender,DrWeb,F-Secure,GData,Ikarus,Kaspersky,MicroWorld-eScan,NANO-Antivirus,nProtect,Emsisoft,F-Secure,DrWeb,AhnLab-V3。
我觉的选杀软的时候可以在这里面挑了。
ALYac,Ad-Aware,AhnLab-V3,BitDefender,DrWeb,F-Secure,GData,Ikarus,Kaspersky,MicroWorld-eScan,NANO-Antivirus,nProtect,Emsisoft,F-Secure,DrWeb,AhnLab-V3。
我觉的选杀软的时候可以在这里面挑了。
 |
1
icloudnet OP 搜了下,这个木马叫 Trojan.JS.Agent.CKF, 卡巴在1月20日新报的木马,这个文件会盗取private IRC messages, files, credit card passwords,持续打开cmd.exe,notepad.exe,word.exe等使计算机变慢。
详细: https://icloud.net/blog/118/virus-my-fax-com-trojan-email-fax-link/ 裸奔的兄弟还是装个杀毒软件吧,不明网址不要点哦。 |
 |
3
efi 2015-01-23 04:57:46 +08:00  1
一行一行看下去,最后肯定有一个eval()。
|
 |
4
Sunyanzi 2015-01-23 05:53:17 +08:00 2
基本的原理解释 ...
JavaScript 的六种数据类型里 ... 五种简单类型在转化为字符串时都会保持原样 ... 比如 ![] 这个值在 JavaScript 里面是布尔 false ... 转化为字符串之后是字符串 false ... !"" 这个值在 JavaScript 里面是布尔 true ... 同样被转化为字符串 true ... undefined 也同理 ... 唯一的复杂类型转化为字符串是 [ object ** ] ... 其中 ** 是对象名 ... 这些字符串里包含了足够多的字母和符号 ... 而 ~[] 这个值在 JavaScript 里面是 -1 ... 之后可以一直自增得到无穷多的连续整数 ... 然后通过取字符串指定位置的字母 ... 再用这些字母组成更复杂的结构 ... 可以获取所有可输入的字符 ... 剩下的事情就只剩用这些字符拼出命令了 ... 这不是一种加密 ... 只是一种比较高级的混淆而已 ... 而且我记得应该是有现成的工具可以把代码转化成这样的 ... 但忘了是在哪里看到的了 ... |
 |
5
typcn 2015-01-23 05:54:33 +08:00 1
估计就是上次那个 IE 0Day ,早被修复了。
不是 eval 只是互换了而已,类似 google 搜 js obfuscator 得到的结果 至于杀毒软件,我永远不会装 |
Select Language