Recientemente estuve revisando la actividad de mi red y encontré un PCAP que está directamente relacionado con un Dropper de Troya. Echando un vistazo rápido a la secuencia TCP de los paquetes, encontré algo de Contenido JavaScript malicioso. El único problema es ... No tengo idea de cómo desenfocarlo.
Esto es lo que muestra mi TPC Stream
GET /sugg/suggestajaj.jsp?key=qin&type=web&pr=sohu HTTP/1.1 DNT: 1 Host: w.sugg.sogou.com Accept: application/javascript, */*;q=0.8 Cookie: CXID=5248838DA4CABE5D9A294184931BF24E; SUID=D0B686402141900A54AE07DE000AB3F1; SUV=1431693802951096; LSTMV=292%2C445; LCLKINT=24499; IPLOC=US Referer: http://www.sohu.com/ User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Accept-Language: en-US Connection: Keep-Alive HTTP/1.1 200 OK Server: nginx Date: Wed, 06 Jul 2016 16:39:39 GMT Content-Type: application/x-javascript;charset=GBK Content-Length: 695 Connection: keep-alive Expires: Wed, 06 Jul 2016 16:39:39 GMT Cache-Control: max-age=0 sugCls.handleContent("%5Bqin%5D%3B%3B%26%3B%3B%5B%E4%BA%B2%E7%88%B1%E7%9A%84%E7%BF%BB%E8%AF%91%E5%AE%98%3B%3B0%2C+%E7%A7%A6%E6%97%B6%E6%98%8E%E6%9C%88%E4%B9%8B%E5%90%9B%E4%B8%B4%E5%A4%A9%E4%B8%8B%3B%3B0%2C+%E4%BA%B2%E7%88%B1%E7%9A%84%E7%BF%BB%E8%AF%91%E5%AE%98%E7%94%B5%E8%A7%86%E5%89%A7%3B%3B0%2C+%E6%83%85%E4%BE%A3%E5%A4%B4%E5%83%8F%3B%3B0%2C+%E7%A7%A6%E6%97%B6%E6%98%8E%E6%9C%88%3B%3B0%2C+%E4%BA%B2%E7%88%B1%E7%9A%84%E7%BF%BB%E8%AF%91%E5%AE%98%E5%89%A7%E6%83%85%E4%BB%8B%E7%BB%8D%3B%3B0%2C+%E9%9D%92%E4%BA%91%E5%BF%97%3B%3B0%2C+%E9%9D%92%E9%9D%92%E8%8D%89%3B%3B0%2C+%E6%83%85%E8%B0%9C%E7%9D%A1%E7%BE%8E%E4%BA%BA%3B%3B0%2C+%E6%83%85%E4%BE%A3%E7%BD%91%E5%90%8D%3B%3B0%5D%3B%3B%26%3B%3B%5B%5D");
Esto parece estar relacionado con un secuestrador web Sogou / Sohu basado en mi investigación.
¡Cualquier ayuda para tratar de desenfocar esto o al menos señalarme la dirección correcta es muy apreciada!
EDIT
Así que hice un trabajo y noté que este JavaScript está configurado para el conjunto de caracteres GBK o chino. Intenté hacer un deobfuscate GBK y lo traduje en Google. Este es el siguiente resultado
sugCls.handleContent ( "[qin] ;; & ;; [Dear translator;; 0, Qin Shiming month Dominating;; 0, dear translator drama;; 0, 0;; couple picture, qinshiming 0;; dear translator Synopsis;; 0, Aspiration;; 0, 0;; green grass, feeling the mystery of Sleeping Beauty;; 0, couple screen name;; 0];; &;; [] ") ;
Esto no tiene ningún sentido ...