RSS
 

Posts Tagged ‘8000000.in’

Gott nytt säkert år!

31 Dec

Vid midnatt kommer fyrverkeri explodera, champagne drickas och malwarescript på 8000000.in sluta fungera. 8000000.in registrerades 12 december och har infekterat minst 70 domäner. Malwarescriptet som körs innehåller denna javascriptkod.

Mh använder på rad 32 javascripts datumobjekt medan variabeln vipt är (och förblir) tom. På rad 34 hämtas årtalet med mh.getFullYear() från vilken 1 subtraheras. Fram till och med midnatt 31 december 2010 får man alltså 2009. Eftersom varibeln vipt är tom sätts variabeln gg till ”e2009al”.

Nästa steg är att i variabeln gg byta ut 2009 mot bokstaven v, och vi får ”eval”, okil är nu en funktion som kör eval(). Detta är ett javascriptkommando som exekverar data som javascriptkod. På rad 36 körs kommandot för strängen ”var kfxb=String.fromCharcode”, vilket sätter en ny variabel. Denna variabel används längre fram för att dekryptera och skriva ut ytterligare javascriptkod.

År 2011 kommer variabeln gg istället att sättas till ”e2010al” och kommer inte att ändras till ”eval”. Javascriptet kommer inte att kunna köra vidare eftersom den försöker använda ett kommando som inte existerar.

Denna post är inspirerad av en post hos Websense.