¿Cómo pasar por JavaScript malicioso?

12

Hay un virus en Facebook haciendo las rondas: Tu cara en 20 años (enlace seguro, pero no siga las instrucciones).

Claramente toma un poco de Javascript de una url (por ejemplo, changeups.info/age/u.php?0.5069423061795533 ) y lo ejecuta en tu página, que publica en las paredes de todos tus amigos. El problema es que no puedo acceder a la secuencia de comandos (e investigar lo que está haciendo) sin haber iniciado sesión en Facebook (ya que es una página de Facebook, usando la API, solo te pedirá que inicies sesión si vas a la URL). que obviamente no quiero hacer.

¿Hay alguna forma de pasar de forma segura a través de Javascript para poder descargar el script y evitar los efectos malintencionados?

    
pregunta fredley 04.05.2011 - 16:47
fuente

4 respuestas

13

No lo hagas, usa un proxy interactivo (soy parcial a Fiddler, hay muchos otros ...).
Cuando se descargue el javascript, primero pasará a través de su herramienta de proxy. Puede agarrarlo, guardarlo y luego bloquear para que no vaya a su navegador.

Como sabe que es malicioso, sería mejor que revise la fuente en lugar de ejecutarla, especialmente en el contexto de su cuenta.

Si eso no es lo suficientemente bueno y desea ejecutarlo, cree una nueva cuenta e inicie sesión con eso, desde una máquina virtual desechable.
No hay ninguna razón para intentar y desinfectar el malware potencialmente confuso y evasivo ... Solo aislelo.

    
respondido por el AviD 04.05.2011 - 17:13
fuente
10

Aquí está el código fuente para el gusano del que estamos hablando. Obtuve esto porque uno de mis amigos recibió pwn3d y publicó un enlace a mi muro. Me desconecté de Facebook y luego hice clic en el enlace. Tenía instalados Tamperdata y Firebug, pero no necesitaba nada de eso. Se trata de hacer que copie y pegue una inclusión de JavaScript en el código fuente anterior. Ver la fuente de la página es suficiente para ver sus trucos.

Una respuesta más general a tu pregunta es usar un arenero. Si se aprovecha su corrupción de memoria javascript, entonces debería usar una máquina virtual. En este caso, sé que es un malware residente de un usuario registrado de fb. Si quisiera saber más sobre cómo funcionó en acción, me registraría en una cuenta de FB para probar esto.

    
respondido por el rook 04.05.2011 - 20:52
fuente
4

Advertencia: Tenga en cuenta que lo siguiente solo es recomendable en una máquina virtual. Obviamente, la depuración de malware no debe realizarse en un sistema productivo;)

Puede seguir las instrucciones con Firebug , un complemento de Firefox que viene con muchas funciones de depuración, accediendo a DOM después de la ejecución de JavaScript y más . Es ampliamente utilizado y bien documentado.

En segundo lugar, tengo una sugerencia sobre cómo mejorar la legibilidad de JavaScript malicioso y confuso: Declare su código como una función y use el método toString:

evil_function = (function() { yourcopypasta_here } alert(evil_function.toString(2));

Esto dará un resultado más bonito, con algunos espacios donde sea útil :) El parámetro 2 para toString no está documentado y probablemente solo funcione en Firefox.

    
respondido por el freddyb 04.05.2011 - 20:34
fuente
2

Puede utilizar enlace que analizaría el malware en línea. Si está dispuesto a hacerlo por su cuenta, puede utilizar Malzilla . Una herramienta similar es FileInsight de McAfee.

    
respondido por el anonymous 04.05.2011 - 17:26
fuente

Lea otras preguntas en las etiquetas