“I love you” otra vez… ¿o quizá no?

10 de febrero de 2010

Tal y como podemos leer en la Wikipedia: “ILoveYou (o VBS/LoveLetter) es un gusano informático escrito en VBScript, que en mayo de 2000 atacó a aproximadamente 50 millones de computadores alrededor del mundo, provocando una pérdida de más de 5.500 millones de dólares en daños.” (más info aquí).

La encriptación/ofuscación de Javascript o HTML puede ayudar a proteger el trabajo del diseñador de una página web, de manera que se dificulta la copia de la misma. Pero esta actuación está bajo una gran controversia: como norma general, la encriptación y la ofuscación son propios de scripts maliciosos. En avast! procedimos a añadir la detección de un extraño script que encontramos recientemente, que bautizamos como JS:LoverCrypt-A [Trj].

El principio y el fin de dicho script lo mostramos más abajo en la imagen, y podréis ver las partes importantes subrayadas en rojo. Estamos ante una ofuscación bastante inusual: la cadena “ILOVEYOU” se usa para reconstruir la cadena “eval” usando la secuencia substring -> split -> reverse -> join -> toLowerCase –> replace. Raro, muy raro. Pero no es lo único desconcertante en este script. El script original está oculto bajo una larga cadena, que consiste en un número limitado de caracteres que son desencriptados usando la última secuencia de llamadas a función (se muestra en la última línea de esta imagen, clic para ampliar):

obfuscation-300x124

¿Quién usaría esto para un objetivo legítimo? En principio, no es posible creer que algo así sea utilizado por una gran empresa, ¿verdad? Pues bien, hemos tenido que eliminar esta muestra de nuestra base de datos porque este script pertenece a un portal de noticias de la República Checa (es parte de su nuevo sistema de anuncios). Y todavía estamos esperando una respuesta a estas preguntas:

- ¿Por qué han usado esta ofuscación sospechosa? ILOVEYOU—>EVAL y otras.

- Si necesitaban tener este script encriptado, ¿por qué no se usó alguna herramienta que pudiera ser menos sospechosa?

- ¿Puede ser que se haga para optimizar la navegación por su web? Es poco probable, teniendo en cuenta que el script ofuscado es tres veces más largo que el original.

¿Qué conclusiones podemos sacar? Bien, en principio los desarrolladores web deberían ser más cuidadosos con lo que publican. No es una idea muy inteligente usar o crear alguna ofuscación/encriptación en una web propia, dado el enorme avance de los malwares instalados en webs legítimas a base hackeos de las mismas, nuestros motores antivirus tienen que ser muy sensibles para proteger a los usuarios y es muy fácil que un script de este tipo sea incluido como sospechoso en las bases de datos de virus, lo cual resultaría perjudicial para la web que lo use por la alarma que podría causar entre sus visitantes.

 

El presente artículo es una traducción y adaptación de un post escrito por Jiri Sejtko en el blog oficial de avast! en inglés.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram