Esaminando in dettaglio il codice scaricando piu' volte la pagina si nota che , non solo il file exe malware si modifca, ma cambia anche lo script offuscato nella porzione di codice dove esegue un XOR per decodifcare la sequanza numerica HEX.
Come si vede nel codice di 4 pagine scaricate in sequenza a distanza di qualche secondo, il valore della chiave di decodifica viene aggiornato continuamente.
Questo significa che la sequenza offuscata viene codificata cambiando ad ogni caricamento chiave e questo aumenta la possibilita' che un antivirus , se esegue una verifica del codice javascript in base al suo contenuto, non riesca a rilevare la pagina come pericolosa.
Edgar
Nessun commento:
Posta un commento