Кто-нибудь может де-запутать этот подвиг?

Question

Я обнаружил следующий эксплойт из-за предупреждения от моего программного обеспечения AV. Он создан рекламным сервером, размещающим рекламные баннеры на одном из моих сайтов.

Я получил содержимое с помощью Wget и скопировал его в pastebin.

http://pastebin.com/m6fa38fac
[Предупреждение: ссылка может содержать вредоносное ПО - не заходить с уязвимого ПК.]

Обратите внимание, что вы должны прокрутить горизонтально на pastebin, так как код находится на одной строке.

Может кто-нибудь узнать, что на самом деле делает эксплойт?

Спасибо.

Answer 1

Не совсем, так как включает (эквивалент):

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

затем использует минуты и секунды времени последнего изменения документа, содержащего его, в качестве ключа для декодирования массива. Если вы все еще не можете получить это время в javascript:alert(document.lastModified) случае, нам придется его перебором.

ETA: ах, на самом деле он использует только первую цифру минут, и по тому, как он его использует, мы можем догадаться, что он должен быть 1. Это оставляет только шестьдесят возможностей, и быстрый цикл показывает, что значимый JavaScript выходит только за 16 секунд.

Я положил расшифрованный скрипт здесь ; это, вероятно, также пингует ваш антивирус. Резюме: он использует эксплойты против плагинов Java, Flash и Acrobat, запуская полезную нагрузку с googleservice.net, который (неожиданно для удивления) является русским сайтом атак

Answer 2

Это обычно работает для распечатки де-обфусцированного кода

eval = alert;

в Firefox с Firebug, я решил это так:

var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));

Вывод здесь: - удалено из-за комментария Зойдберга -