警告:投稿を書いている間、サイトは感染したままです。 はい、Javaの穴を介してWindowsに感染する可能性があります(多分) 。
昨夜、 Svyaznoy社のWebサイトを見て、感染の危険性についてGoogleの警告を見つけました。もちろん、それを拒否してソースを確認しました(これをしないでください!)
一見、危険なものはありませんでした。 もっと深く掘り下げなければならなかったので、面白いことが見つかりました!
この脅威はjQuery(jquery.min.js)に隠されており、次のコードがファイルの最後にきちんと挿入されています(実行することはお勧めしません。iframeがあります!!)。
(コード: pastebin.com/DSPzeDqd )
暗号化されたテキストをカット(「txt」変数の先頭からいくつかの文字を削除した)すると、そこに隠されているものを見つけるための作業コードを取得できません。
彼はGoogleが見た「トロイの木馬」です。 IFrameを使用すると、間違いなくロシア語のルーツを持つサイトにアクセスできます -「 bul0va。*** 」
このサイトのソースコードを少し分析したところ、 javaファイルもあることがわかりました。 JavaScriptコードの解析を開始せずに、Javaデコンパイラーを探しました。
私が最初に見つけたのは、このアプリケーション-http://java.decompiler.free.fr/でした。
すべてがうまくいきました。 私は、このjarファイルのソースコードに、いくつかの興味深い「スマートすぎる」チップが含まれています。
(メインクラスのコード: http : //pastebin.ru/317047 )
残念ながら、私は彼が何をどのように行っているのか理解できませんでした。
小さなクエストを完了し、それがエンドユーザーのマシンにどのように感染するかを理解することをお勧めします。