La semana pasada informamos del Ataque masivo a miles de sitios web y en ese momento decíamos que el código JavaScript de los sitios web involucrados estaban ofuscados y descargaban malware que ya era detectado por ESET NOD32.

Ahora veamos este código un poco más en detalle y analicemos si se puede des-ofuscar. Para ello descargamos el archivo 0.js mencionado en aquella oportunidad, y vemos su contenido:

Como puede verse, no se puede leer demasiado del mismo y sólo obtenemos como conclusión que el archivo es un JavaScript, el cual el navegador deberá “entender” y traducir de alguna forma.

Un método trivial y básico de des-ofuscar este código es hacer que el navegador trabaje para nosotros. Para ello realizamos un sencillo document.write(), el cual volcará en la pantalla el código en Javascript ya traducido:

Ahora sólo resta ordenar y emprolijar el código para comprenderlo sin problemas.

Como podemos notar al final, el script se encarga de descargar y ejecutar el archivo dañino .exe desde un servidor externo.

Esta sencilla técnica no funciona siempre y dependerá del tipo de ofuscación empleado, pero suele ser un buen comienzo para ver a qué nos enfrentamos.

Cristian

• Falso Google Analytics propaga malware
• Desofuscando un TrojanClicker
• Múltiples ataques, una sola defensa

Categorias: Educación, Malware
1 Comentario »