找回密码
 立即注册
查看: 2234|回复: 4

关于https://vcb-s.com被卡巴斯基启发式引擎报毒问题

  • TA的每日心情
    开心
    2019-8-31 16:22
  • 签到天数: 2 天

    [LV.1]初来乍到

    0

    主题

    4

    回帖

    0

    VC币

    新手上路

    Rank: 1

    积分
    320
    inori_lover123 发表于 2019-10-14 20:44:51 | 显示全部楼层
    本帖最后由 inori_lover123 于 2019-10-14 21:37 编辑

    你好,我是暂任主站前端。
    正在校验相关脚本来源。

    更新:2019年10月14日 20点56分
    tldr: 该脚本应为上古时期测试代码,目前在白名单机制下已无法正常运作。

    略长解析:
    感谢楼主对主站code安全的关注及帮助。

    上文提到的代码经过动态分析以及对外求证,行为如下:
    1. 定义数个解混淆函数并借此还原出可运行的js
    2. 主函数解密后获取浏览器userAgent,假设解析结果反映用户浏览设备为安卓且cookit带有 __utma= 关键词时,异步加载一个脚本,该脚本地址为:https://clickstats365.com/ui_node.js?cid=12&v=cfcd208495d565ef66e7dff9f98764da


    3. 通过查询,__utma=为google 浏览量分析脚本的cookie
    4. 通过git版本查询,该脚本为上古遗留物,早在代码git化管理时已存在。
    5. 异步加载的js所在域名不在白名单内,经过验证即使手动调试为所有运行条件都满足也无法加载。

    在上诉行为中已可大致推测该脚本为浏览分析脚本(不然不会过滤用户且分析cookie中带有指定关键词才加载),应为上古时期测试时没有删除干净,现已删除。
    分析师提到代码已上传至sharebin供review,在任意tab(包括空白tab)控制台输入运行便可单步调试验证。
    上诉提到脚本内容:https://paste.ubuntu.com/p/ZFbdVPXd5j/




    回复

    使用道具 举报

  • TA的每日心情
    郁闷
    2021-6-2 12:53
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    0

    主题

    3

    回帖

    0

    VC币

    注册会员

    Rank: 2

    积分
    596
    InQB 发表于 2019-10-29 22:57:00 | 显示全部楼层
    Google 搜索发现
    This domain name expired on 2019-10-08 18:05:57 (bgm38)
    回复

    使用道具 举报

  • TA的每日心情
    郁闷
    2021-6-2 12:53
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    0

    主题

    3

    回帖

    0

    VC币

    注册会员

    Rank: 2

    积分
    596
    InQB 发表于 2019-10-29 22:26:56 | 显示全部楼层
    curl -vv "https://clickstats365.com/ui_node.js?cid=12&v=cfcd208495d565ef66e7dff9f98764da"
    显示 handshake 失败,没有回传 handshake,此站不支持 https 访问
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表