Нашёл гадостный код в html спрятанный с помощью eval(unescape(. Часть удалось расшифровать, а часть ещё в процессе. Возникли трудности с пониманием куска приведенного ниже. Вопрос собственно в том какой код должна выполнить eval ?

function lOaC(tFne){
var yGULXdv=0, gySLH, esZs = tFne.length;
for(gySLH=0; gySLH<esZs; gySLH++) yGULXdv+=tFne.charCodeAt(gySLH)*esZs;
return new String(yGULXdv)}

var hSJIR=eval('akrkgAuBmqe0n0t0sk.qc0aklBl0eqek'.replace(/[qkBA0]/g, '')).toString().replace(/[^@a-z0-9A-Z_.,-]/g,''),iTPQx=lOaC(hSJIR),fnn wb=new String(),nCp=0;


| Сообщение посчитали полезным:

[HEX] пишет:
Ошибся топиком. Тут JS разбираем, а не пинчи (наверное).

Это я как пример давал ссылку на www.colorsky.ru, где подобный скрипт на вполне приличной страничке висит. То есть по сути дела 4t проверил на себе и описал действие подобного скрипта...

| Сообщение посчитали полезным:

ToBad
Не въехал сразу

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

arnix
Это разве расшифрованый? Это как раз так пол беды. Ты дальше расшифруй. Как раз дальше и будет хитрожопая функция расшифровывающая код по хэшу от зашифрованого кода.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]

То что я дал и есть расшифрованный код, function get_hash(input) это их функция function xnYsxI(knyTRH)
который считывает хеш, и.т.д, я просто их код записал нормально с нормальными именами переменных, а чтобы хеш считывался правильно и дальше расшифровка тоже шла нормально, там где он берет код своей функции посредством arguments.callee я поставил статичный код (оригинал). Теперь нужно лишь понять (в отладчике) почу eval финального кода (который у меня тут алертиться) вызывает у IE такие проблемы, но это уже не в эту тему.

PS

Ты дальше расшифруй. Как раз дальше и будет хитрожопая функция
расшифровывающая код по хэшу от зашифрованого кода.

Может ты и прав Ты хочешь сказать "хитрожопая функция расшифровывающая код" в этом самом последнем eval-e?? но там же бинарный код кажется, а не js...

| Сообщение посчитали полезным:

arnix
Я не пойму чето. Ты тот же код пытаешся расшифровать который ToBad в самом начале дал?
Или ты какой то уже другой откапал?
Просто лень щас сравнивать и смотреть, но если ты тот же код пытаешся расшифровать, то зачем делать тоже самое когда уже я выкладывал расшифрованый код?

P.S. Бинарника там не будет скорей всего! Если и будет немного бинарница, то это будет шеллкодом для сплойта, но я не вижу не сплойта и не самого шеллкода. Вот что тебе выдает твоя строка alert(splote_code); ? Если не JS код, то значит нихрена не верно расшифровал.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

там идет странный bin на eval'e последнем. до него тоже добрался. либо это exploit под IE, либо все-таки надо дешифрацией до конца позаниматься. идей толком нет, т.к. далек от js.

malzilla удобная тулза для декода. thx.

просьба перевыложить 7z с малварью с рапиды на любой другой обменник.

| Сообщение посчитали полезным:

RUNaum
eval() не исполняет бинарники! eval() исполняет JS код. Так что ковыряйтесь дальше.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], понимаю что не исполняет. потому и не понятно. реально на вход eval'a идет совершенно бессвязная вещь. отсюда и идея что это сплоит, хотя утверждать не буду.

| Сообщение посчитали полезным:

RUNaum
Отсюда я и утверждаю что код не расшифрован! Еслиб расшифровал верно, то был бы JS код вместо мусора. Незря я написал вначале что впервые вижу подобный код и примитивным методом бездумной замены eval() на alert() не прокатит. Так что придется всеже подумать.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX][HEX] пишет:
Об этом уже в инет новостях растрезвонили бы.
hччp://it2b-forum.ru/showtopic=4084
Вот тут про eval и строка поиска, которая покажет в т.ч. и зараженные сайты.
+(document.write|eval) +unescape

Добавив в поиск cnc-inc увидим, что эти скрипты не всегда безобидны:
hччp://www.grc-moskva.ru/guestbook.php?page=5

Просто все это было в ноябре-декабре, а сейчас мы видим поделки "недоделки"...
По почерку чувствуется, что оригинальный автор и скрипта и проги, что я в теме про трояны выкладывал
одно и то же лицо и успешно продолжает заражать, не оставляя явных следов...

| Сообщение посчитали полезным:

tundra37
Я писал про то что еслиб был взлом народа.ру, то об этом наверника написали в новостях. В новостях такого небыло, но зато видим кучу зараженых сайтов по всему инету. Поэтому я и поставил заключение, что народ цепляет пинчи и у них уводят пароли от ихних сайтов. В последствии эти сайты заражаются для наращивания оборота.

Подобная технология с внедрением кода уже началась более полугода назад если даже не год с лишним. Вначале был примитивный ифрейм на сайт с сплоитом под разные браузеры. Сейчас просто народ подсел на готовые сборки типа Mpack и прочего где все это уже автоматизировано. И в одной (а может и не в одной) такой сборке используется утиль по обфускации/шифрации кода. Особого ума для установки подобного пака не нужно и каждый молодой человек считает своим долгом заработать на этом. Результат как говорится на лицо.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
arnix
Я не пойму чето. Ты тот же код пытаешся расшифровать который ToBad в самом начале дал?
Или ты какой то уже другой откапал?

нет, скрипт не от ToBad-a а от 4t[HEX] пишет:
P.S. Бинарника там не будет скорей всего! Если и будет немного бинарница, то это будет шеллкодом для сплойта, но я не вижу не сплойта и не самого шеллкода. Вот что тебе выдает твоя строка alert(splote_code); ? Если не JS код, то значит нихрена не верно расшифровал.

Там бинарник, либо это шеллкод, который c помощью ошибки в обработчике функции eval у IE скачивает вирус и запускает, либо я не правильно расшифровал. Будет время, проверю.

| Сообщение посчитали полезным:

arnix
На 95% уверен что неверно расшифровал, так как обфускатор/шифратор один и тот же если расматривать логику скрипта. Значит в eval() должен пихаться JS код который пытались скрыть, а вот в нем уже я не исключаю что может быть хоть сплоит с шеллкодом либо ифреймы или прочая лабуда.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Вот набросал тутор по расшифровки этой каки
Писал в блокноте за пол часа, так что сильно не пинать.

3529_24.03.2008_CRACKLAB.rU.tgz - JS decompress tut.txt

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]

Да действительно, расшифровка пряталась за тройным XOR -ом. Хеш - Функция расшифровки(обрезанная регуляркой) - само зашифрованное тело.
Обидно что все закончилось банальным iframe -ом. Все равно китайцы молодцы!

| Сообщение посчитали полезным:

[HEX], благодарю за тутор. Забавно. Честно, думал что все-таки сплоит через некорректную обработку параметра в eval(), перерыл уже все.

| Сообщение посчитали полезным: