יניב אור- יניב אור
ניתוח malware שנכתב ב-JavaScript - וירוס 6
עודכן ב: 19 מאי 2020
האינדקס לסדרת המאמרים:
מתוך אוסף הנוזקות הבא:
https://github.com/HynekPetrak/javascript-malware-collection
תיקיית 2016 בתוכה תיקיה 20160103 - הקובץ
20160103_a2f53e9442f130246f3b05ec505ce528.js
הוירוס כתוב כשורה אחת ארוכה. הפעלתי עליו את התוסף Beautify וזאת התוצאה:
הקוד חתוך למשתנים המכילים מחרוזות קטנות. המשתנה v9 מחבר בין כל החלקים הקטנים והמשתנה u5 הוא הפקודה eval אשר מקבל את v9 ומריץ את הקוד.
אכניס את השורה האחרונה - בה נעשה eval - להערה וכמו כן אוסיף console.log שידפיס את v9.
בצורה הבאה:
הרצתי עם NodeJS וקיבלתי את הקוד הבא:
העתקתי את הקוד שקיבלתי לקובץ חדש והפעלתי עליו Beautify. זאת התוצאה:
בדיקת הוירוס במעבדת cuckoo
