С недавних пор в лаборатории Websense Security Labs стали отслеживать новое
направление в развитии вредоносных JavaScript-ов: веб-страницы, использующие
элементы форм для хранения скрытого вредоносного кода. Эта новая тактика
получает все большее распространение среди авторов таких скриптов. В частности,
ее реализацию можно встретить в составе инструментария My Poly Sploits v.1.0.
Авторы подозрительных веб-страниц используют элементы форм как способ
размещения, сокрытия и фрагментирования вредоносного кода. Это достигается путем
деобфускации незначительной части кода JavaScript, в то время, как сам
вредоносный код не включается в рамки JavaScript (как это делается обычно).
Авторы таких скриптов вместо этого вставляют код внутрь элемента INPUT.
Как видно из приведенного выше примера, авторы кода вставляют содержимое в
атрибут VALUE элемента INPUT. Затем показанный выше код JavaScript находит его и
собирает. После чего запускается несколько эксплоитов из состава утилиты My Poly
Sploits.
Одним из возможных путей применения новой методики может быть использование
множества элементов с различными атрибутами для того, чтобы распределить
фрагменты опасного кода по всей странице.
