ניתוח malware שנכתב ב-JavaScript - וירוס 6

האינדקס לסדרת המאמרים:

ניתוח וירוסים

מתוך אוסף הנוזקות הבא:

https://github.com/HynekPetrak/javascript-malware-collection

תיקיית 2016 בתוכה תיקיה 20160103 - הקובץ

20160103_a2f53e9442f130246f3b05ec505ce528.js

הוירוס כתוב כשורה אחת ארוכה. הפעלתי עליו את התוסף Beautify וזאת התוצאה:

הקוד חתוך למשתנים המכילים מחרוזות קטנות. המשתנה v9 מחבר בין כל החלקים הקטנים והמשתנה u5 הוא הפקודה eval אשר מקבל את v9 ומריץ את הקוד.

אכניס את השורה האחרונה - בה נעשה eval - להערה וכמו כן אוסיף console.log שידפיס את v9.

בצורה הבאה:

הרצתי עם NodeJS וקיבלתי את הקוד הבא:

העתקתי את הקוד שקיבלתי לקובץ חדש והפעלתי עליו Beautify. זאת התוצאה:

בדיקת הוירוס במעבדת cuckoo