חיפוש
  • יניב אור

ניתוח malware שנכתב ב-JavaScript - וירוס 4

עודכן ב: מאי 19

האינדקס לסדרת המאמרים:

ניתוח וירוסים


מתוך אוסף הנוזקות הבא:

https://github.com/HynekPetrak/javascript-malware-collection


תיקיית 2019 בתוכה תיקיה 20190808 - הקובץ:

Информация\ о\ заказе.2019-0807.docx.js


התרגום של הקובץ מרוסית: "מידע אודות הזמנה". הקובץ, אגב, הוא קובץ וורד - מסתיים ב-docx.


אוסף של 22 פונקציות שקוראות אחת לשנייה ובתוך כל אחת מהן יש חלקי קוד ומחרוזות שצריך לחבר יחד. נראה ממש כמו פאזל בתוך מבוך - או משהו בסגנון.


נקודת ההתחלה של המבוך נראית כך:

לולאת ה-while הזאת לא באמת עושה משהו מיוחד. החלק היחידי שחשוב כאן הוא הקריאה לפונקציה q - והקוד הזה מצטמצם לדבר הבא:

בינתיים - עד שאסיים לצמצם טיפה את הקוד - הכנסתי את הפונקציה להערה:


הדבר הבא שעשיתי היה לקחת פונקציות שמחזירות string פשוט ולא נכנסות לתסבוכת עם פונקציות אחרות - כמו למשל:

ובצורה ידנית הצבתי את המחרוזת שהן מחזירות במקום המתאים בקוד - היכן שיש קריאות לפונקציות הללו - ומחקתי את הפונקציות.


לאחר מכן המשכתי לשתי הפונקציות - gT ו-JK. כל אחת מהן מכילה מערך של תווים ומחרוזות - ומכילה משתנה שמחבר את התווים והמחרוזות למחרוזת אחת. מחוץ לפונקציות הללו הרצתי עליהן console.log והצבתי את המחרוזת במקום תוכן הפונקציה. דוגמא לאחת מהפונקציות הללו:

את הקוד הרצתי עם NodeJS וקיבלתי:

את הערכים הצבתי במקום המתאים בקוד ומחקתי את הפונקציות.


באותה דרך טיפלתי בפונקציה הבאה.

הפונקציה הבאה:

מצטמצמת ל:

והעתקתי אותה אל תוך הפונקציה שקוראת לה - הפונקציה R - שלתוכה יתרכזו באותה צורה שאר הפונקציות.


הפונקציה הבאה:

הצטמצמה ל:

וגם היא הועברה למיקומה המתאים ב-R.


מחרוזות מפורקות חיברתי חזרה, כמו למשל קטע הקוד הבא:

מחקתי מספר פונקציות שאף חלק מהקוד לא קורא להן.


את הפונקציה הבאה צמצמתי:

והעברתי למיקומה המתאים ב-R.


את הפונקציה הזאת:

שילבתי אל תוך הפונקציה הבאה:

והאחרונה השתנתה לצורה הבאה:


אני מזכיר שנקודת הכניסה למבוך היא הקריאה ל-q והערך 43 שמועבר כפרמטר fVy, אין בו שימוש.


ולכן הוצאתי את הקוד מהפונקציה q החוצה ונשארנו עם הקוד הזה ועם הפונקציה R. בנוסף לכך, שיניתי את שמות המשתנים והפונקציות כך שהקוד יהיה ברור וקריא יותר.




בהמשך אריץ את הקוד. אגב, בתחתית הקוד הופיעה המחרוזת שמתחילה ב-sms - בהערה. אין לי מושג מה פשר הדבר.


עדכון:

התקנתי מעבדת cuckoo לבדיקת נוזקות. ראו פוסט: Cuckoo Sandbox. בהמשך מצורפים מספר צילומי מסך של בדיקת הקובץ המדובר במעבדה הנוכחית.


© 2023 by DO IT YOURSELF. Proudly created with Wix.com