-
Junior Member
- Вес репутации
- 62
Подозрительный скрипт на сайте.
Позавчера вечером знакомый на своем сайте обнаружил java скрипт дописанный в конец индексных файлов. Прогнал его через virustotal, ни одного срабатывания. Попытался разобраться сам:
вначале вроде понятно
Код:
jQuery = eval('wIiRnLdFoIwF.FekvkaIlk'.replace(/[IkLFR]/g, ''));
превращается в
Код:
jQuery = eval('window.eval');
Т.е. основной код идет в строковом аргументе к jQuery. Сам аргумент тоже представляет собой скрипт с еще одним строковым аргументом, но этот аргумент я уже разобрать не смог. Попробовал отследить во что превращается код через замену на - на выходе получил полную ерунду, непонятно как это может быть вообще исполняемым кодом. Вчера очень похожий скрипт был найден на сайте cisco, но там хоть какое-то срабатывание антивирусов. Есть подозрения, что это загрузчик. Просто из любопытства интересно - как это можно расшифровать?
Добавлено через 6 минут
Файл сохранён как 081112_024411_v111_491a975ba40de.zip
Размер файла 3492
MD5 2dbe681b3636d44141eed08c18a27371
Последний раз редактировалось lynx_rus; 12.11.2008 в 11:48.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Да, это загрузчик. Грузит с китайских сайтов трояны.
Например, такой: Trojan.PWS.LDPinch.4182
-
-
Junior Member
- Вес репутации
- 62
А адреса сайтов с которых он загружает своих друзей, из скрипта как-нибудь достать можно?
Ответить с цитированием
