Показано с 1 по 3 из 3.

Подозрительный скрипт на сайте.

  1. #1
    Junior Member Репутация
    Регистрация
    12.11.2008
    Сообщений
    2
    Вес репутации
    34

    Подозрительный скрипт на сайте.

    Позавчера вечером знакомый на своем сайте обнаружил java скрипт дописанный в конец индексных файлов. Прогнал его через virustotal, ни одного срабатывания. Попытался разобраться сам:
    вначале вроде понятно
    Код:
    jQuery = eval('wIiRnLdFoIwF.FekvkaIlk'.replace(/[IkLFR]/g, ''));
    превращается в
    Код:
    jQuery = eval('window.eval');
    Т.е. основной код идет в строковом аргументе к jQuery. Сам аргумент тоже представляет собой скрипт с еще одним строковым аргументом, но этот аргумент я уже разобрать не смог. Попробовал отследить во что превращается код через замену
    Код:
    eval(w9O1E);
    на
    Код:
    alert(w9O1E);
    - на выходе получил полную ерунду, непонятно как это может быть вообще исполняемым кодом. Вчера очень похожий скрипт был найден на сайте cisco, но там хоть какое-то срабатывание антивирусов. Есть подозрения, что это загрузчик. Просто из любопытства интересно - как это можно расшифровать?

    Добавлено через 6 минут

    Файл сохранён как 081112_024411_v111_491a975ba40de.zip
    Размер файла 3492
    MD5 2dbe681b3636d44141eed08c18a27371
    Последний раз редактировалось lynx_rus; 12.11.2008 в 11:48. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Да, это загрузчик. Грузит с китайских сайтов трояны.
    Например, такой: Trojan.PWS.LDPinch.4182

  4. #3
    Junior Member Репутация
    Регистрация
    12.11.2008
    Сообщений
    2
    Вес репутации
    34
    А адреса сайтов с которых он загружает своих друзей, из скрипта как-нибудь достать можно?

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 30.08.2011, 13:47
  2. Ответов: 2
    Последнее сообщение: 03.09.2010, 16:55
  3. Подозрительный скрипт Windows 7
    От LSerg в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 01.08.2010, 19:45
  4. Подозрительный sp*.sys
    От Sanc4eZ в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 03.07.2008, 10:24
  5. Лог AVZ подозрительный
    От starbreaker в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 30.05.2008, 19:55

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00063 seconds with 16 queries