V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
icloudnet
V2EX  ›  问与答

这个特洛伊木马是啥意思

  •  
  •   icloudnet · 2015-01-23 00:54:37 +08:00 · 2739 次点击
    这是一个创建于 3586 天前的主题,其中的信息可能已经有所发展或是发生改变。
    打开一个网址,卡巴报毒,是个js文件,代码古怪的很:

    $=~[];
    $={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};
    $.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+......

    没认出来是啥意思
    第 1 条附言  ·  2015-01-23 02:27:32 +08:00
    搜索还发现杀软对这个木马报毒了:
    ALYac,Ad-Aware,AhnLab-V3,BitDefender,DrWeb,F-Secure,GData,Ikarus,Kaspersky,MicroWorld-eScan,NANO-Antivirus,nProtect,Emsisoft,F-Secure,DrWeb,AhnLab-V3。
    我觉的选杀软的时候可以在这里面挑了。
    5 条回复    2015-01-23 05:54:33 +08:00
    icloudnet
        1
    icloudnet  
    OP
       2015-01-23 02:15:40 +08:00
    搜了下,这个木马叫 Trojan.JS.Agent.CKF, 卡巴在1月20日新报的木马,这个文件会盗取private IRC messages, files, credit card passwords,持续打开cmd.exe,notepad.exe,word.exe等使计算机变慢。

    详细:
    https://icloud.net/blog/118/virus-my-fax-com-trojan-email-fax-link/

    裸奔的兄弟还是装个杀毒软件吧,不明网址不要点哦。
    Akiyori
        2
    Akiyori  
       2015-01-23 04:48:53 +08:00 via iPhone   ❤️ 1
    @RIcter 依稀记得你以前写过这种加密方式...
    efi
        3
    efi  
       2015-01-23 04:57:46 +08:00   ❤️ 1
    一行一行看下去,最后肯定有一个eval()。
    Sunyanzi
        4
    Sunyanzi  
       2015-01-23 05:53:17 +08:00   ❤️ 2
    基本的原理解释 ...

    JavaScript 的六种数据类型里 ... 五种简单类型在转化为字符串时都会保持原样 ...

    比如 ![] 这个值在 JavaScript 里面是布尔 false ... 转化为字符串之后是字符串 false ...

    !"" 这个值在 JavaScript 里面是布尔 true ... 同样被转化为字符串 true ... undefined 也同理 ...

    唯一的复杂类型转化为字符串是 [ object ** ] ... 其中 ** 是对象名 ...

    这些字符串里包含了足够多的字母和符号 ...

    而 ~[] 这个值在 JavaScript 里面是 -1 ... 之后可以一直自增得到无穷多的连续整数 ...

    然后通过取字符串指定位置的字母 ... 再用这些字母组成更复杂的结构 ...

    可以获取所有可输入的字符 ... 剩下的事情就只剩用这些字符拼出命令了 ...

    这不是一种加密 ... 只是一种比较高级的混淆而已 ...

    而且我记得应该是有现成的工具可以把代码转化成这样的 ... 但忘了是在哪里看到的了 ...
    typcn
        5
    typcn  
       2015-01-23 05:54:33 +08:00   ❤️ 1
    估计就是上次那个 IE 0Day ,早被修复了。
    不是 eval 只是互换了而已,类似 google 搜 js obfuscator 得到的结果
    至于杀毒软件,我永远不会装
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2649 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 03:26 · PVG 11:26 · LAX 19:26 · JFK 22:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.