חיפוש
  • יניב אור

ניתוח malware שנכתב ב-JavaScript - וירוס 2

עודכן ב: מאי 20

האינדקס לסדרת המאמרים:

ניתוח וירוסים


אני מזכיר, מצאתי ב-Github אוסף של נוזקות JavaScript. מדובר על קרוב ל-40,000 תוכנות זדוניות.

https://github.com/HynekPetrak/javascript-malware-collection


תיקיית 1936 בתוכה תיקיה 19360616 - הקובץ:

19360616_5e841d55a1141a97c11c9975bdbe7d38.js


צורת הקוד דומה לקוד מהניתוח של: ניתוח malware שנכתב ב-JavaScript - וירוס 1 לכן לא ארחיב כאן על הפעולות הזהות שביצעתי.


הקוד במצב obfuscated וכתוב בשורה אחת ארוכה.


השתמשתי בתוסף ל-VS Code שנקרא Beautify


מחקתי את הבלוק הפותח - שמכיל את fuck, little, motherfucking8, freaks, smile וכולי - ואת הבלוק הסוגר. הם משמשים רק כהטעיה. בנוסף לכך, החלפתי את קידוד ה-unicode לתווים קריאים והמרתי מאובייקטים של תוים למחרוזות.



קוד כמעט זהה ל-malware הקודם שהוזכר (19360611). ה-URL של השרת המרוחק עם סקריפט ה-PHP - זהה לחלוטין. הבנו את העיקרון.


אגב, שאר הוירוסים בתיקיית 1936, נראה שהם מאותו הסגנון. אולי אותו URL וכולי.


בדיקת הוירוס במעבדת cuckoo

גם הוירוס הזה לא זוהה כתוכנה זדונית.


בדיקת הוירוס ב-virustotal


© 2023 by DO IT YOURSELF. Proudly created with Wix.com