banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Đề nghị phân tích code .js trong link nghi ngờ thu lượm ở Facebook  XML
  [Analyzing]   Đề nghị phân tích code .js trong link nghi ngờ thu lượm ở Facebook 30/10/2013 13:39:00 (+0700) | #1 | 278912
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Chào bà con
Dạo gần đây thấy trên facebook một tình huống thế này.
Tay chơi nào đó quăng lên một cái link
hxxp://tinhot.vn.ae/ht-5238/ma-tuy-an-thit-nguoi-xam-nhap-nuoc-my

Mình thấy tếu tếu vì tần suất lập lại của chủ đề này nên tò mò , sài teleport download nội dung từ cái link về. Mình thấyToàn bộ file ở link http://www.mediafire.com/folder/85wpz4yckocr8/tinhot

Mình thấy khá nghi ngờ về cái link này, liệu nó có túm thông tin của facebook hay các thông tin khác nếu lầm lở bấm vào link không. Nhờ các chuyên gia phân tích các file .js ở link download.
Mình mở 1 file fb.js-ut=2013_10_30, thì thấy 1 đóng code

if(get_user && get_friends && !get_statuses){
if(got_user && got_friends && got_user_photos){
callbackGetData(got_user_val, got_friends_val, got_statuses_val, got_messages_val, got_user_photos_val);
}else{
setTimeout(function(){
getCalData(get_user, get_friends, get_statuses, get_messages, get_user_photos, callbackGetData, 1)
}, 500);
 Hy vọng bà con phăng ra được chiêu trò trong mớ file .js để mọi người cảnh giác .
Cám ơn nhiều.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Đề nghị phân tích code .js trong link nghi ngờ thu lượm ở Facebook 30/10/2013 18:54:25 (+0700) | #2 | 278915
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Tình hình là file fb.js-ut=2013_10_30 xuất hiện ở một link khác mà mình thấy trên facebook các bạn.
link hxxp://tinhot.vn.ae/ht-5648/iphone-6-voi-man-hinh-48-inch
hxxp://yeuthikocolydo1.tk/fb/39491/

Mình chưa test cho ngày mai, ngày mốt với teleport để xem cấu tên file có đổi theo ngày download không. Nhưng chắc chắn 1 điều là cấu trúc lệnh trong các file này y chang nhau.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Đề nghị phân tích code .js trong link nghi ngờ thu lượm ở Facebook 01/11/2013 15:49:44 (+0700) | #3 | 278929
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Source code file fb.js.... coi ở link này
http://codeviewer.org/view/code:386e
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Đề nghị phân tích code .js trong link nghi ngờ thu lượm ở Facebook 04/11/2013 15:46:56 (+0700) | #4 | 278952
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Kì này thấy thêm nhiều đường link có đuôi .ae ừ nhiều tay khác nhau trên Facebook. Mục tiêu của mấy tay này là các open group nhiều members.
Mình nghi là các tay này chơi trò câu likes.
Link thấy mới nhất
hxxp://timmoi.vn.ae/ht-6156/hot-gui-cho-anh-phan-2-khoi-my
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Đề nghị phân tích code .js trong link nghi ngờ thu lượm ở Facebook 04/11/2013 15:56:54 (+0700) | #5 | 278953
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Phần source đầu trong cái file fb.js.... minh search và thấy nó là 1 base64binary.js hoàn chỉnh từ 2011
http://code.ohloh.net/file?fid=u8VnYMynqfv9_N1CtTFkkIUe8Ms&cid=PjzIkIhDJiE&s=&browser=Default&fp=401729&mp&projSelected=true#L0

Hầu như giống 100% không khác cho tới ừng câu từng chử.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Đề nghị phân tích code .js trong link nghi ngờ thu lượm ở Facebook 04/11/2013 16:01:15 (+0700) | #6 | 278954
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Nhìn sơ qua các hàm có tên gợi nhớ dễ nhìn, mình nghi là lở tay click vào hình(thực tế là nguỵ trang link) sẽ làm mình tự like cái gì đó. Bước đầu là vậy.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|