forum Abc de la sécurité informatique

rafi · 18-08-2007 14:25:35

Ca ressemble à un exploit mais je ne sais pas pourquoi. Un expert Javascript pourrait m'aiguiller ?

Code:

<Script Language='JavaScript'> function xor_str(plain_str, xor_key){ var xored_str = "";	for (var i = 0 ; i < plain_str.length; ++i) xored_str += String.fromCharCode(xor_key ^ plain_str.charCodeAt(i)); return xored_str; } var plain_str = "----------------------" var xored_str = xor_str(plain_str, 166); document.write(xored_str); </script>

Dernière modification par habana (19-08-2007 03:55:58)

MAD · 18-08-2007 19:38:22

Bonjour,

Notifié par Jok, je confirme qu'il s'agit bien d'un exploit; la méthode d'obfuscation utilisée est bien connue.
Je doute que le décoder ici soit une excellente idée, ceci étant, quelle était la nature de l'email ?
S'agissait-il d'une "postcard" ? Merci de préciser, rafi.

A bientôt.

rafi · 18-08-2007 20:52:47

with SMTP; 18 Aug 2007 12:19:16 -0000
Received: from yxl.tjx ([113.221.116.64]) by ebbcf with Microsoft
SMTPSVC(6.0.3790.211); Sat, 18 Aug 2007 07:19:15 -0500
Message-ID: <002b01c7e191$fe611030$4074dd71@yxl.tjx>
From: <gkbenton1@amfibre.com>

Subject:
Date: Sat, 18 Aug 2007 07:19:15 -0500
MIME-Version: 1.0
Content-Type: text/plain; format=flowed; charset="iso-8859-1"; reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4133.2578
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4133.2578

I took those pictures you wanted. These will get you hot.
http://66.143.245.***/

MAD · 18-08-2007 21:43:09

Merci rafi. Cette réponse confirme bien ce que je pensais.
Il s'agit de spams massifs de type "postcard", "greeting card", etc...

Database of vulnerable/hacked servers
Address and Port: 69.57.54.34
Record Created: Tue Jul 31 02:17:59 2007 GMT
Record Updated: Tue Jul 31 02:17:59 2007 GMT
Information: Spam Sending Trojan or Proxy attempted to send mail

Ce serveur a déjà été notifié.