Malware sito Web con tag

Naviga le tue risposte
2

Un inconveniente comune che ho riscontrato quando si eseguiva analisi forensi su siti Web compromessi è uno schema come questo: 

<span>Clean code here</span>

<!--0c0a22-->
... malware code here ...
<!--/0c0a22-->

<div>clean code resumes</div>

In particolare, il codice HTML è delimitato da <!--marker--> ... <!--/marker--> , codice PHP con #marker# ... #/marker# e JavaScript con /*marker*/ ... /*/marker*/ . Dove il marcatore è un valore alfanumerico di 6 caratteri (possibilmente esadecimali) che varia a seconda dell'infezione ma è coerente in tutti i file infetti in una volta.

Quindi la mia domanda è questa:
C'è uno strumento comune che produce questo modello, o è forse un singolo individuo o gruppo? O altrimenti, perché questo modello è così coerente e comune?

    
posta tylerl 24.07.2013 - 19:28
fonte

1 risposta

2

Questo sembra essere un modo per il malware di verificare se ha già infettato il file o meno. Non è necessario alcuno strumento, potrebbe essere qualcosa di semplice come una stringa con codice esadecimale che indica qualcosa all'autore del malware, oppure potrebbe semplicemente essere una stringa generata casualmente di alcuni pattern per aiutare il malware a identificare il proprio codice nelle pagine infette.

Ho visto tecniche simili in diversi siti Web infetti.

    
risposta data 24.07.2013 - 19:35
fonte

Leggi altre domande sui tag

Invio di token di accesso dal server alle best practice del client Modi per offuscare le abitudini di navigazione sul Web [duplicate]