Come passare attraverso JavaScript dannoso?

12

C'è un virus di Facebook che fa il giro: La tua faccia tra 20 anni (collegamento sicuro, ma non seguire le istruzioni).

Cattura chiaramente alcuni Javascript da un URL (ad esempio changeups.info/age/u.php?0.5069423061795533 ) e li esegue sulla tua pagina, che pubblica sui muri di tutti i tuoi amici. Il problema è che non posso accedere allo script (e indagare su quello che sta facendo) senza essere connesso a Facebook (dato che è una pagina Facebook, usando l'API, ti chiederà solo di accedere se vai all'URL), che ovviamente non voglio fare.

C'è un modo per passare in modo sicuro attraverso Javascript in modo da poter scaricare lo script ed evitare gli effetti dannosi di esso?

    
posta fredley 04.05.2011 - 16:47
fonte

4 risposte

13

Non passarci oltre, usa invece un proxy interattivo (sono parziale a Fiddler, ce ne sono molti altri ...).
Quando il javascript è scaricato, passerà prima attraverso il tuo strumento proxy - puoi prenderlo, salvarlo e poi bloccarlo andando avanti nel tuo browser.

Poiché sai che è dannoso, dovresti esaminare meglio la fonte piuttosto che eseguirla, specialmente nel contesto del tuo account.

Se ciò non è abbastanza buono, e vuoi per eseguirlo, crea un nuovo account e accedi con quello, da una VM "usa e getta".
Nessun motivo per provare a disinfettare malware potenzialmente offuscato e sfuggente ... basta isolarlo.

    
risposta data 04.05.2011 - 17:13
fonte
10

Questo è il codice sorgente di cui parla il worm. Ho ottenuto questo perché uno dei miei amici ha ottenuto pwn3d e ha pubblicato un link al mio muro. Ho effettuato il logout da Facebook e ho fatto clic sul link. Avevo installato Tamperdata e Firebug, ma non ne avevo bisogno. Sta cercando di farti copiare e incollare un codice JavaScript incluso nel codice sorgente sopra. la visualizzazione della fonte della pagina è sufficiente per vedere i suoi trucchi.

Una risposta più generale alla tua domanda è usare una sandbox. Se il suo exploit di danneggiamento della memoria javascript, dovresti usare una VM. In questo caso, conosco il suo malware residente a un utente fb registrato. Se volessi sapere di più su come ha funzionato in azione, vorrei registrarmi per un account FB per testarlo.

    
risposta data 04.05.2011 - 20:52
fonte
4

Attenzione: Si prega di notare che quanto segue è consigliabile solo su una macchina virtuale. Ovviamente, il debug del malware non dovrebbe essere fatto su un sistema produttivo;)

Puoi seguire le istruzioni con Firebug , un componente aggiuntivo per Firefox fornito con molte funzioni di debug, accesso al DOM dopo l'esecuzione di JavaScript e altro . È ampiamente usato e ben documentato.

In secondo luogo, ho un suggerimento su come migliorare la leggibilità per il JavaScript dannoso e offuscato: Dichiara il tuo codice come una funzione e usa il metodo toString:

evil_function = (function() { yourcopypasta_here } alert(evil_function.toString(2));

Questo darà un output più carino, con pochi spazi dove è utile :) Il parametro 2 per toString non è documentato e probabilmente funzionerà solo su Firefox.

    
risposta data 04.05.2011 - 20:34
fonte
2

È possibile utilizzare link per analizzare il malware online. Se sei disposto a farlo da solo, puoi utilizzare Malzilla . Strumento simile è FileInsight di McAfee.

    
risposta data 04.05.2011 - 17:26
fonte

Leggi altre domande sui tag